A regra Match para sshd_config funciona também para ssh_config, e em particular o arquivo global /etc/ssh/ssh_config
que você pode editar para conter:
Match host site user root
Hostname DontDoThat
Isso substituirá o nome do host quando você fizer um ssh ou sftp:
$ sftp root@site
Couldn't read packet: Connection reset by peer
$ sudo sftp site
ssh: Could not resolve hostname dontdothat: Name or service not known
É claro que o arquivo ~/.ssh/config
do usuário ainda pode substituir essa configuração.
Você pode querer registrar informações sobre a pessoa que está fazendo o sftp, adicionando à linha Match uma chamada de um script (que deve sair 0), por exemplo, exec "/bin/mylogger somearg..."
(não use aspas simples).