Soluzione 1:
L'unica cosa che mi viene in mente sarebbe aggiungere --expiredate al adduser chiamata.
Con ciò il cliente sa che il tuo accesso scadrà automaticamente a una data fissa.
Ha ancora bisogno di fidarsi di te poiché hai accesso root e potrebbe ancora rimuovere il flag di scadenza.
Soluzione 2:
Puoi registrare le tue sessioni con l'utility script(1).
$ script session.log
Script started, file is session.log
$ ls
file1 session.log
exit
Script done, file is session.log
poi tutto è in session.log.
Soluzione 3:
Dato che stai già effettuando l'accesso con una chiave pubblica SSH, se non fornissi un hash della password, le cose andrebbero un po' più strette; invece digli di usare adduser --disabled-password (equivalentemente, useradd -p '!' , credo), che è effettivamente equivalente a PasswordAuthentication no per quell'account, inoltre non c'è alcuna possibilità che qualcuno che ficca il naso nella tua email possa forzare l'hash della password e accedere come te.
Soluzione 4:
Perché fornire una password, quando utilizzerai chiavi pubbliche/private.
Le chiavi pubbliche sono pensate per essere condivise, quindi questo è ciò che dovresti usare per scambiare in modo sicuro le credenziali, non le password con hash.
sudo useradd --disabled-password hbruijn
Quando invii la tua chiave pubblica, verifica l'impronta digitale su un secondo canale, come una telefonata, così saprai che nessuno l'ha alterata durante il suo ingresso.
Dato che ora non avrai una password per usare sudo, devi anche modificare la riga nel file sudoers in
hbruijn ALL=(ALL) NOPASSWD:ALL
Se non ti senti a tuo agio nel non avere una password per sudo e desideri davvero una password, non è comunque necessario che tu invii la tua password con hash, lascia che l'account venga creato senza password, imposta la tua chiave pubblica e una volta che il tuo account è configurato puoi accedere tramite ssh ed eseguire passwd per impostare la tua password.