Se você estiver usando o subsistema SFTP, onde ele gera um processo separado, você pode criar um grupo sftp e permitir somente a execução do binário sftp-server para esse grupo. Não será possível fazer isso com o mais novo daemon sftp internalizado, que é especificado com internal-sftp .
Se eles tiverem acesso ao shell, eles ainda poderão scp. Você tem um objetivo específico em mente?
Editar
Se você quiser restringir seu usuário a somente executar ou utilizar um programa específico, eu provavelmente recomendaria um wrapper de shell. command= pode funcionar, mas parece mais provável que seja falível. Eu faria mais testes para ter certeza.
Um invólucro de shell, como scponly , permitirá que o usuário final scp. Eu modifiquei a fonte de scponly antes de permitir apenas a execução do CVS, por exemplo. Isso também pode ser feito com um script de shell, mas é mais fácil cometer erros se você não entender completamente o escopo do que você está tentando fazer.