Não me expliquei bem.
O site que estou a desenvolver, o FTP está no cliente. Mas não quero que eles consigam "roubar" os ficheiros. Só eu, portanto. Ou seja, daria para substituir, mas nunca para tirar de la para o nosso computador.
Só para esclarecer, quando dizes "está no cliente", quer dizer que o utilizador final tem acesso a este, ou é mesmo um cliente teu, a quem estás a vender o site?
Existe 3 tipos de permissões a nível de ficheiros:
Leitura - Podem ver o ficheiro, sacar, ler, mas não conseguem editar/fazer upload ou executar
Escrita - Podem editar ficheiros, e caso isto seja aplicado numa pasta, podem fazer upload de novos para dentro dessa pasta
Executar - Podem executar o ficheiro, no entanto em ftp, se não me engano, não tens forma de o fazer.
Depois existe categorias, ou seja a quem queres dar cada tipo de permissão:
Dono do ficheiro - Quem lá o colocou, ou quem atribuíste como owner
Grupo do ficheiro - Grupo default a que ele foi associado, ou que foi associado manualmente
Todos - Todos os utilizadores
Posto isto, o máximo que podes fazer é dar permissões 666(todos podem ver e escrever) na pasta e em cada ficheiro que não queres que seja roubado 600(apenas o owner consegue ver e escrever nos ficheiros existentes). No entanto, com isto, o outros utilizadores de ftp apenas conseguem fazer upload, não conseguem ver os ficheiros ou substituir por novos. (E só conseguem fazer download dos ficheiros que eles próprios meteram no servidor)
Não sei se existe algum tipo de configuração a nível de servidor, no vsftpd ou semelhantes que não permita o download, mas permita visualizar e substituir ficheiros... mas que eu saiba, o que queres fazer não é possível.
Para resumir, se não queres que te roubem o código ou passem as coisas para outro lado, não dês acesso FTP. No entanto não acho que o cliente alguma vez iria aceitar isso, visto que, se quisesse mudar de alojamento ou fazer alterações menores teria de estar sempre a contactar-te