Eu não consigo pensar em uma maneira genérica de ter o mesmo usuário capaz de fazer sudo em um terminal gráfico (que é um virtual tty) e não em uma conexão ssh - que no final é apenas outro tipo de tty virtual.
O que posso pensar como uma solução aproximada é:
-
possuem usuários confiáveis que podem usar
sudo(1), chamá-los dealphaebeta -
tem usuários que não podem fazer
sudo(1), chamá-los dealephybet
Agora, proíba o login do ssh para alpha y beta usando a diretiva DenyUsers em /etc/ssh/sshd.conf :
DenyUsers alpha beta
Se você quiser que o usuário alpha y aleph possa compartilhar arquivos, poderá torná-los o mesmo grupo ou membros de um grupo adicional e ajustar as permissões de arquivo de acordo.
Notas de rodapé:
(1) Apenas um lembrete: um usuário pode fazer sudo se for um membro do grupo sudo ou adm (dependendo da versão do Ubuntu). Para remover a capacidade de um usuário fazer sudo:
gpasswd -d user sudo
gpasswd -d user adm
e para ativá-lo:
gpasswd -a user sudo
gpasswd -a user adm
(um ou outro --- verifique com groups qual é o grupo correto em seu sistema).