Eu preciso desativar o tty para um usuário apenas por SSH. O que devo colocar em um arquivo que colocarei em sudoers.d?
O arquivo de configuração sudoers é o local errado para proibir a alocação de pseudo-terminais para um usuário que efetua login via SSH.
Em você sshd_config você poderia adicionar algo como o seguinte ao final do arquivo :
Match User bob
PermitTTY no
Isso permitiria bob ao SSH ao host executar comandos, mas não iniciar uma sessão interativa. Eu não testei isso.
Para controlar com mais precisão quem pode fazer logon / e quem não pode no seu sistema, use /etc/security/access.conf . Para mim, é ótimo porque posso permitir o acesso à máquina para usuários exatos de máquinas ou redes específicas.
Veja man access.conf para saber mais sobre este arquivo.