No meu servidor, eu tenho dois grupos: ssh-users e su-users
ssh-users mantém usuários ssh na caixa com. Usuário sshu é um membro de ssh-users . Uma vez logado no servidor, eu quero que ssh-users membros consigam executar su para um usuário de su-users group mas não queiram que eles consigam su root .
su-users mantém usuários que podem fazer o trabalho principal e querem que eles tenham direitos para executar su na raiz ou em qualquer usuário.
Como posso conseguir isso no Debian?
Eu tentei o módulo pam_wheel.so em /etc/pam.d/su , mas qualquer grupo que mencionei é permitido su root.
Eu também tentei isso, mas sem efeito: link
Esta é a maneira como su funciona por padrão. Tudo o que você precisa fazer é garantir que sua senha root seja segura. Para su para qualquer usuário, você precisa saber a senha desse usuário. Então, se o seu ssh-users não tiver a senha do root, eles não poderão mudar para o root. Contanto que eles tenham o passe do usuário-alvo, eles poderão su para esse usuário.
Eu não entendo o que mais você precisa.