Sua pergunta não faz muito sentido, pois o usuário em questão tem acesso ao sudo.
Então ...
- Sim, um uso pode alterar a senha nas chaves ssh.
e
- Um usuário com acesso raiz pode alterar a senha de qualquer outro usuário no sistema ou bloquear uma conta sem saber a senha da conta de destino.
Não sei ao certo como você está dando a eles acesso root ou se o acesso root está limitado de alguma forma. Se você estiver usando a configuração padrão do sudo, eles saberão sua senha para poder alterá-la. Se você estiver usando su, uma vez que eles tenham acesso root, eles podem fazer o que quiserem, a menos que você os restrinja com uma ferramenta como apparmor ou selinux
Talvez você possa bloquear a conta e forçar o novo usuário a definir uma senha no primeiro login.
De link
Adicione isso ao seu script:
% bl0ck_qu0te%