Hola, hola
Yo lo uso de un modo modo similar por no decir idéntico ;-).
En la máquina que realiza el backup habrás definido una "conexión ssh" con root que usa una clave que se usa exclusivamente para eso asociada con el host remoto.
En el host remoto la conexión está limitada para realizar exclusivamente el backup del modo que comentas:
PermitRootLogin forced-commands-only
Y en el authorized_keys lo que defino junto a la clave es lo siguiente:
from="xxxxxxxxxxx",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="/usr/local/bin/valida-rsync.sh" ssh-dss...
El "truquito" viene de http://troy.jdmz.net/rsync/#validate-rsync se trata de un script que hace de wrap para rsync validando la conexión, pero hace no mucho descubrí que el propio paquete de rsync trae un script en perl con el mismo fin, que es más flexible y que está instalado en /usr/share/doc/rsync/scripts/rrsync.gz y puedes usar de un modo muy similar, por ejemplo:
from="xxxxxxxxxxx",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="/usr/local/bin/rrsync -ro proyectos" ssh-rsa...
Dale un vistazo a este último y aprovecha que ya lo tienes en el equipo ;-).
Un saludo