Eu sei que é possível desautorizar root logins via ssh, e que é uma boa ideia ™ não permitir root para sempre fazer login via ssh (preferindo usar sudo ou semelhante).
É possível permitir que root faça o login apenas usando chaves, mas também permitir que su - funcione a partir da linha de comando?
Quando eu desativei root logins no passado, ele também cancelou a capacidade de fazer su - de outro usuário.
Se isso for possível, como posso realizá-lo?
Sim, é possível. Coloque o seguinte na parte inferior do sshd_config:
Match User root
PasswordAuthentication no
Você deseja colocar isso no final do sshd_config, já que tudo após Match User root se aplicará apenas ao root. Veja sshd_config para mais detalhes.