I otworzył użytkownik plik helpa man sshd_config i ujrzał on następujące opcje:
DenyUsers zawiera listę użytkowników, którzy nie mają prawa do logowania się przez SSH
DenyGroups zawiera listę grub, których członkowie nie mają prawa do logowania się przez SSH
Czyli albo dopisujesz każdego "ograniczonego" użytkownika do listy DenyUsers albo zakłądasz grupę (np "bez_ssh"), dodajesz ją do listy DenyGroups i na koniec wszystkich "ograniczonych" dodajesz do grupy "bez_ssh".
Skłaniałbym się do drugiego rozwiązania, bo dopisanie usera do "ograniczonych" nie wymaga zmiany konfiguracji SSHD.