Resposta completamente reescrita, pois acho que entendi mal o que você está querendo fazer.
Se você quiser permitir a autenticação de chave pública para o usuário raiz, mas não a autenticação baseada em senha, precisará definir:
PermitRootLogin without-password
Definir como no
impede todos os logins.