fallback script sshd_config

Eu acredito que o método que você já usa é o único que está realmente funcionando. O principal problema é que, se a configuração do daemon ssh está falhando, como o servidor deveria saber que está falhando?
Teoricamente, você pode escrever um script que substitua a configuração defeituosa por uma versão de backup correta, mas isso só é útil se o servidor pode detectar que a configuração está falhando. Por exemplo, se o daemon ssh falhar, o processo será cancelado, o que pode significar que é hora de colocar o backup no lugar. Entretanto, você pode fazer ajustes que afetam negativamente a conectividade ssh enquanto o daemon ainda permanece ativo. Isso é algo que você não pode detectar e, portanto, o backup não será copiado.

O SSH é iniciado usando o Upstart e usa a opção respawn do Upstart para reiniciá-lo quando o processo morrer. Portanto, você pode tentar detectar quando o trabalho de SSH atingiu o limite de respawn e sobrescreva a configuração com uma configuração válida. Por exemplo:

# cat /etc/init/ssh-safe.conf
start on stopped ssh RESULT="failed" PROCESS="respawn"
script
  cp /etc/ssh/sshd_config.original /etc/ssh/sshd_config
  start ssh RESTARTED_BY_WATCHDOG=1 || true
end-script