passwd -l
pode ser o que você está procurando:)
da página de manual do passwd:
-l, --lock Bloqueia a senha da conta nomeada. Esta opção desativa uma senha, alterando-a para um valor que não corresponda possível valor criptografado (adiciona um ´! ´ no início do senha).
Observe que isso não desativa a conta. O usuário ainda pode estar capaz de logar usando outro token de autenticação (por exemplo, uma chave SSH). Para desativar a conta, os administradores devem usar usermod --expiredate 1 (define a data de expiração da conta para 2 de janeiro de 1970).
Usuários com uma senha bloqueada não podem alterar sua senha.