O SSH usa criptografia que torna a espionagem sem sentido. Tudo o que um bisbilhoteiro veria é o texto cifrado, ou seja, dados aleatórios.
Você pode garantir que ninguém intercepte os dados, garantindo que a impressão digital do servidor SSH relatada por seu cliente SSH é o que você está esperando.
O SSH não oculta o IP ao qual você está se conectando ou o período de tempo em que você está conectado. Ele não transmite informações por si só - quando a conexão está inativa, o mesmo acontece com SSH (exceção menor é que alguns clientes [PuTTY] têm uma opção "keepalive" onde os pacotes são enviados apenas para manter a conexão fora do tempo limite). Essas informações podem ser usadas por um invasor para correlacionar sua atividade a determinados arquivos ou atividades. Existem maneiras de ofuscar isso se você for muito paranóico.
Existem diferentes versões SSH - você quer usar a versão 2 e nunca versões anteriores.
O SSH é um protocolo de aplicativo de rede - cria um "canal" entre você e um sistema remoto. Por isso, ele está apenas preocupado em fornecer os dados que o servidor deseja exibir para você e transmitir o que você digita de volta para o servidor. Contas, controle de acesso e login permanecem de responsabilidade do sistema operacional. O SSH não muda nada em relação a isso.
Isso significa que os "níveis de acesso" são separadamente sua responsabilidade como administrador do sistema - uma determinada conta terá os mesmos recursos, seja no login local ou via SSH.
O sshd_config tem uma opção para negar root a capacidade de fazer login diretamente (não afeta sudo ou su ). Geralmente, isso é considerado uma coisa boa, já que o acesso remoto à raiz exigiria duas senhas em vez de uma.