Você mantém UsePAM como yes porque quando PasswordAuthentication está definido como no O PAM não chama a seção 'auth' do serviço PAM:
UsePAM Enables the Pluggable Authentication Module interface. If set to “yes” this will enable PAM authentication using ChallengeResponseAuthentication and PasswordAuthentication in addition to PAM account and session module processing for all authentication types.
Because PAM challenge-response authentication usually serves an equivalent role to password authentication, you should disable either PasswordAuthentication or ChallengeResponseAuthentication.
If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user. The default is “no”.
Dessa forma, o PAM executa os tipos account e session corretamente, o que é realmente muito importante se você quiser restringir o acesso a serviços baseados em IP, hora ou outros fatores da conta. Além disso, se você quiser ter certeza de que os usuários herdarão certas variáveis de ambiente no login ou não permitirão o acesso ao servidor quando o SELinux estiver desativado.
É uma falácia comum pensar que ele é executado em todos os auth módulos quando o PAM está ativado, mas a autenticação de senha está desativada.