PermitRootLogin No não impede logins root inteiramente, apenas previne logins root através de ssh. A ativação dessa opção impede uma classe de ataques de força bruta, em que um invasor tenta ssh root@server com algumas senhas comuns (incluindo uma senha vazia, que pode funcionar se PermitEmptyPasswords estiver ativado). O ponto de recusar logins de raiz remota é que root é um nome de usuário muito comum; Ao desabilitar os logins raiz remotos, você precisa que o invasor também adivinhe corretamente um nome de usuário válido.