Нужно запретить ползать юзеру за пределы своей директории home, или, на худой конец, ограничить его /var/ftp директорией.
А то коннектишься по FTP-шке, и красота: можно посмотреть любую директорию, на которую есть права. Но не ограничивать же права на все директории! Не порядок!