Se o conjunto de comandos permitido incluir o daemon sftp (ou interno-sftp), o SFTP será permitido. No entanto, se você estiver configurando o comando forçado no arquivo authorized_keys e o usuário tiver acesso sftp, sem trabalho adicional, eles poderão substituir o arquivo por um não restrito ao que você define. Isso, é claro, funcionaria com qualquer aplicativo que o usuário pudesse instruir para modificar esse arquivo (intencionalmente ou enganando-o). Uma opção melhor pode ser restringir por usuário ou grupo dentro do sshd_config principal, possivelmente com o ChrootDirectory.