Se a edição remota é realmente desejada, uma solução simples poderia ser manter uma cópia do / etc (ou partes dela) em outro usuário local e configurar o sistema para copiar as mudanças de lá para o real / etc. Melhor ainda seria usar um git - ou svn, ou qualquer outro sistema de controle de versão de sua escolha - e você também teria um registro de mudanças adicional.
Também é possível configurar o chroot no SFTP e desativar o login normal de uma conta específica - ou limitar o login a esse usuário somente a partir de endereços IP especificados - com o mesmo recurso do OpenSSH (Match Group, etc.). Sobre isso, verifique o link
No entanto, lembre-se que a maioria dos arquivos de configuração em / etc torna possível obter acesso root apenas editando-os. Vi sistemas configurados com svn / git para verificar a validação dos arquivos de configuração antes de aceitar as alterações dos arquivos - que poderiam ser usados para aceitar apenas os formatos de configuração seguros.
De qualquer forma, há muitas soluções diferentes para o problema. Esta foi apenas uma abordagem.