Если работа из-под root не предполагается (в 99.9% случаев можно заменить на sudo), то достаточно сделать описанное выше: отключить root в ssh и запретить локальный логин.
Если всё-таки зачем-то нужен root (или в первое время боитесь работы с sudo), то можно переименовать root в другой нестандартный username, чтобы злоумышленник подбирал не только пароль, но и логин.