Antwort ja.

PS: Über die Benutzer-/Gruppenrechte, die Login-Shell und/oder die installierten Programme. Ein gewisses Rest-Risiko bleibt aber, schon durch die Komplexität der eingesetzten Software, doch ich denke, dass man Benutzern denen man einen SSH-Account gibt auch ein bisschen vertrauen können muss und die Restriktionen mehr eine Art Richtlinie sind, damit sie wissen wo schluß ist und sie nix versehentlich kaputtmachen können.

wenn du alle User fuer eine gewisse Zeit "aussperren" moechtest - zBSP fuer den Beginn der Maintenance Phase, dann kannst du via touch die Datei /etc/nologin erstellen.

Der Inhalt dieser Datei wird dann an alle User ausgegeben, die sich anmelden wollen. Somit kann verhindert werden, dass sich weitere Benutzer anmelden. Fuer bereits angemeldete User hat das Vorhandensein dieser Datei keine Auswirkungen. Diese kannst du dann via who erfahren und ggf benachrichtigen.

Der User root kann sich aber immer anmelden.

Mehr Infos findes du hier

Ansonsten kannst du eigentlich nur die Rechte der Programme modifizieren aber das ist ziemlich aufwendig und kann auch zu gewissen Problemen fuehren. Daher wuerde ich mich der Meinung von Oziris anschlieszen und sagen wer ssh machen darf, dem wird vertraut.