SFTP non sécurisé sur NAS Dlink DNS 325

Bonjour à tous,

Je possède un NAS Dlink DNS 325.
Afin de changer le serveur UPNP ( par Twonky server ), j'ai auparavant installé fun_plug.
J'ai du activer le module ssh afin d'effectuer les différentes manipulations. Ceci a par ailleurs activé le module sftp.
J'ai limité l'accès ssh au "root". Les autres utilisateurs "x" et "y" ont seulement accès aux dossiers persos ( accès interdit aux fichiers internes ) et ce, soit par ftp soit par smb. "x" a accès à l'ensemble des dossiers persos tandis que "y" est limité qu'à certains d'entre eux.
Il y a quelques jours, je me suis rendu compte que les utilisateurs ( ayant un compte défini via l'interface de gestion du NAS ) "x" et "y" ont accès au sftp. Ainsi ils peuvent parcourir toute l'architecture du disque et donc accéder aux dossiers non autorisés. Par contre, leur accès est non autorisé via ssh; ce que je ne comprends pas, car ssh et sftp sont liés.
J'ai donc ajouté dans le fichier sshd_config la ligne suivante :
AllowUsers root

Ainsi seul le root a accès au sftp et ssh.
J'aimerais savoir si ce problème que j'ai rencontré est réellement un problème; autrement dit si c'est tout à fait normal ou non ?
Par ailleurs, est-ce que vous pourriez me confirmer que la manip que j'ai effectué est la BONNE, c'est à dire, globalement, si il n'y a pas un autre moyen de détourner les droits d'accès ?

Merci d'avance.