Como configuro um Debian para que vários usuários possam fazer a administração, mas não ver os arquivos pessoais uns dos outros?

Uma solução que melhor assegure que os diretórios pessoais de todos sejam particulares é criptografar os diretórios base. Eu posso estar errado, mas acho que seria muito difícil obter a configuração desejada sem criptografia. Se outras pessoas tiverem acesso físico à sua máquina, elas sempre poderão ler seus arquivos se realmente quiserem (inicializar um sistema operacional ao vivo, montar a unidade e ler). Então, acho que a criptografia seria sua melhor aposta.

Não estou familiarizado com todos os métodos para criptografar o disco rígido, mas, por exemplo, o Ubuntu oferece a opção de criptografar sua unidade inicial durante a instalação usando o eCryptfs. Isso fica no topo do sistema de arquivos, assim você não precisa ter partições separadas, etc. Quando você faz o login, o sistema de arquivos é desbloqueado. Assim, o usuário não pode dizer que seu diretório pessoal está criptografado, o usuário usa o sistema como sempre fez. A criptografia não precisa atrapalhar. Eu não estou familiarizado com o quão difícil é configurar.

Sim, permita que essas pessoas executem apt-get e dpkg como root usando /etc/sudoers .

Não tenho certeza se isso abre a possibilidade de mexer nos diretórios de outros usuários (digamos, criando o ambiente de maneira especial antes de executar esses programas). sudo deveria cuidar disso, mas eu perguntaria na lista debian-security se você não tem certeza.