Der Artikel ist zwar schon etwas älter, aber nützlich ist auch, die Zeile PermitRootLogin wie folgt anzupassen:
PermitRootLogin without-password
So ist der Login mit root zwar möglich, aber nur mit SSH Key. Ob man den Account nun deaktiviert, oder per SSH Keys erlaubt, ist denke wiederum Geschmackssache.