Suponho que você defina PermitRootLogin como não. Se este for o caso, o SSH ainda aceitará a conexão, mas negará o login da raiz. Você verá isso nos logs, mas não permitirá que o root faça o login.
Eu também uso a opção "sem senha" para permitir login root somente com chaves SSH.
Eu não pesquisei, mas suspeito que isso ocorra porque o SSH aceita a conexão e, em seguida, passa o processo de autenticação para o PAM.
Se você deseja bloquear essas tentativas, o fail2ban é uma ferramenta popular para essa finalidade.
Pessoalmente, não sou fã desses analisadores de logs, mas eles têm o seu lugar.