O sshd já suporta o cenário que você deseja:
PermitRootLogin without-password
Isso permite que o root use qualquer método de autenticação, exceto senha.
Para um cenário de sysadmin único, tudo bem. Embora, como foi discutido ad nauseam aqui e em outros lugares, se você tiver vários sysadmins, nenhum deles deve estar logado como root.