Из manpage:
PermitRootLogin
Указывает, может ли root входить в систему с помощью тсс(1). Аргумент должен быть “да”, “без пароля”, “только принудительные команды” или "нет”. Значение по умолчанию - “да”.
Если для этого параметра установлено значение “без пароля”, аутентификация по паролю для root отключена.
Если для этого параметра установлено значение “только принудительные команды”, будет разрешен вход в систему root с аутентификацией по открытому ключу, но только в том случае, если
commandбыла указана опция (которая может быть полезна для создания удаленных резервных копий, даже если вход с правами root обычно запрещен). Все остальные методы проверки подлинности отключены для root.Если для этого параметра установлено значение “нет”, root не имеет права входить в систему.
Таким образом without-password разрешает вход в систему root только с аутентификацией по открытому ключу. Это часто используется со сценариями командной оболочки и автоматизированными задачами.