É sempre melhor desativar o login root via SSH.
Existem sistemas PKI (por exemplo, chaves públicas com SSH) que foram comprometidos. O SSH já possuía falhas de autenticação remota anteriormente que permitiam a ocorrência de um comprometimento de raiz. As PKIs de software são notoriamente mais fracas do que as PKIs baseadas em hardware ... se o seu computador host estiver comprometido, o servidor de destino também poderá cair facilmente. Ou pode haver falhas novas encontradas no SSH. Ao limitar o login da raiz, você também pode estender o período de tempo de que um invasor precisa para realizar o escalonamento de privilégios.
Historicamente, muitos administradores usavam hosts de bastiões (basicamente gateways) para entrar em uma rede e, em seguida, pulavam para caixas depois. Usar uma distro de alta segurança (por exemplo, o OpenBSD) como um host de bastiões, em conjunto com diferentes sistemas operacionais, fornece defesa em profundidade e defesa na diversidade (uma vulnerabilidade menos provável de comprometer toda a rede).
Por favor, considere também uma conexão fora de banda com a sua rede, como um concentrador serial, um comutador serial ou outro. Isso fornecerá a disponibilidade de backup de sua interface administrativa, se necessário.
Como sou paranóico e estou em segurança, é mais provável que eu use uma VPN IPSEC ou uma VPN Type1 e, em seguida, execute o SSH em cima dele, sem nenhuma exposição à Internet do SSH. Colocar a VPN em seu hardware de rede pode simplificar bastante isso na implementação.