Existe um comando sshd config para bloquear chaves que possuem frases-chave em branco ou vazias?
Gostaria de limitar o acesso ssh a pessoas com senhas sem ter senhas armazenadas em servidores.
Eu não penso assim, já que o keyphrase é usado no lado do cliente para destravar a chave. Eu não acho que o servidor tenha conhecimento de se uma frase está na chave. Além disso, o usuário pode desbloquear suas chaves em seus keychains ssh-agent.
Você faria melhor usar a chave pública como um segundo fator enquanto ainda precisa de uma senha. Isso permite que você implemente uma política de senha mínima de força decente.
Não, isso não é possível. O servidor não tem como saber se o usuário digitou uma frase secreta para usar sua chave ou não e ele também não precisa dessa informação. A única coisa que o servidor vê é "por favor, deixe-me entrar, assinado somekey" e compara isso com a chave pública conhecida. Você pode desabilitar o login do pubkey, mas você teria que armazenar senhas (criptografadas) no servidor que você não deseja.