você pode redefinir a senha depois que o usuário fizer login com algum tipo de script / etc / profile ou bashrc.
Depois, você precisa evitar que o usuário possa alterar sua senha novamente.
Você conhece as quatro instalações PAM auth, account, password, session?
Você teria que alterar o recurso de senha para que o usuário não possa mais alterar sua senha.
Se você não quiser usar ssh-keys, execute um cenário:
login do punho: login fácil com senha
2º / 3º login com segurança aumentada
você gerencia o cenário completo no back-end com algo como privacyIDEA .
Lá, um usuário pode ter diferentes dispositivos de autenticação (como "senha" ou token OTP). E você pode definir com que frequência esse dispositivo (como a senha) pode ser usado.
Portanto, defina a senha a ser usada apenas uma vez e pronto.
Há um howto para runnnig-lo com um farm de servidores e ssh .
Atenciosamente
Cornelius