Ich habe nicht alles gelesen. Abr es gibt in "authorized_keys" unter anderen die Optionen "from=" und "command".
Dann nur Keys erlauben und natürlich verbieten, dass der Anwender diese Datei ändert
Falls keine Shell benötigt wird setze entweder als Shell /bin/false (Benutzer muss dann -N verwenden) oder definiere den Zielbefehl auch in authorized_keys. Ich hatte das mal programmiert, dass man darüber nur in eine Restriced-Shell inkl. Screen/Tmux für Ferwartung kam.
https://debian-administration.org/artic ... _addresses