FTP аккаунты являются системными пользователями и имеют общий UID, совпадающий с UID пользователя, к которому относится FTP аккаунт. Это обеспечивает ему возможность пользователю осуществлять операции над файлами в домашних директориях FTP аккаунтов. Поэтому настоятельно рекомендуем вам проверить настройки вашего сервера FTP на предмет того, что после авторизации пользователя производится chroot в его домашнюю директорию. Для примера, в proftpd это настраивается добавлением следующей строки в файл конфигурации proftpd.conf:
DefaultRoot ~
Также, если это разрешено в настройках вашего web-сервера, любой пользователь FTP может создать в своей домашней директории папку public_html, содержимое которой будет доступно через Web с использованием URL http://имя-сайта/~имя-пользователя.
FTP аккаунты с закрытой домашней директорией, в отличии от всех остальных, имеют отдельный UID, а их домашние директории располагаются в поддиректории users директории пользователя. Если вы создаёте FTP аккаунт для хранения личных файлов, к которым не хотите предоставлять публичного доступа, в целях безопасности советуем использовать именно этот вариант.