Para quem procura, aqui está a solução com a qual fui.
Pontos principais:
-
Dirvish não suporta rodar rsync via sudo (Por que, eu não sei)
-
Em AUTHORIZED_KEYS, você pode restringir as condições sob as quais uma chave é autorizada, incluindo a especificação de um único comando permitido e um único endereço IP de origem.
Em sshd_config, você pode especificar que o login da raiz ssh só é permitido quando o sinalizador -command é especificado e o comando corresponde àquele em AUTHORIZED_KEYS
PermitRootLogin forced-commands-only
Um procedimento completo está aqui: link