L'idée c'est que l'utilisateur ne soit pas membre du groupe wheel si il se connecte via le service sshd.
Exemple de conf sous Gentoo (attention Gentoo est réputé pour sa conf, ça peut être plus merdique sous une autre distrib)
1: On supprime le groupe wheel pour tous les utilisateurs
2: On édite le fichier /etc/pam.d/system-auth on ajoute :
auth optional pam_group.so |
3: On édite /etc/security/group.conf on ajoute :
!sshd;*;user1,user2;*;wheel
|
user1,user2 correspondent aux utilisateurs qui doivent avoir accès au groupe wheel.
Bien sûr il faut que ssh utilise pam, mais ça devrait être le cas sur une distrib moderne (>1999 ). J'ai pas testé donc ca ne marche peut-être pas out-of-the-box mais c'est l'idée.