Прежде не приходилось настраивать отдельного SSH пользователя чтобы
позволить ему только запуск rsync в нужном месте. Оказалось что в
rsync есть rrsync (restricted rsync) скрипт, как раз для этой цели:
$ cat ~mirror/.ssh/authorized_keys
restrict,command="rrsync -ro ~lighttpd/www" ssh-ed25519 ...