para desativar a senha do root, você precisa bloquear a conta root:
sudo passwd -l root
sudo chage -E-1 root
explicação:
a primeira linha bloqueia a raiz a / c, mas também expira a senha, o que significa que o material pode quebrar (como o root crontab, por exemplo !!). A segunda linha define a senha de root para "never expire", para que isso não aconteça, e assim você ainda pode usar sudo su
, por exemplo.
Combine isso com PermitRootLogin No
em /etc/ssh/sshd_config
, e você deve estar pronto.