ssh で特定のユーザに対して、パスワードログインを拒否したい but 公開鍵認証は OK
としたいとき、PAM 経由であれば pam_listfile を使えばいけるみたい。

以下の 1 行を /etc/pam.d/sshd の定義先頭に追加。

 auth       required     pam_listfile.so onerr=succeed item=user sense=deny file=/etc/pam.d/sshd-nopassusers.conf

/etc/pam.d/sshd_nopassuwers.conf  に、対象となるユーザ名をリストアップ。

情報元
http://lists.mindrot.org/pipermail/openssh-unix-dev/2004-October/021937.html