O login da raiz da chave pública sobre o SSH é provavelmente sua melhor aposta. Além disso, você pode restringir esse acesso a um único host:
AllowUsers [email protected]
Ou até mesmo use a diretiva Match
para obter uma configuração única para um determinado item (endereço, usuário etc.):
Match Address 192.0.2.123
PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes
PermitRootLogin yes