ssh & local root login работает с неправильным паролем в Debian 9

Похоже, вы описываете функциональность setgid bit , где, когда каталог, в котором он установлен, заставит все новые файлы, созданные в нем, установить их группу в ту же группу, которая установлена родительский каталог.

Пример

$ whoami
saml

$ groups
saml wheel wireshark

настроить каталог с разрешениями + владельцы

$ sudo mkdir --mode=u+rwx,g+rs,g-w,o-rwx somedir
$ sudo chown saml.apache somedir
$ ll -d somedir/
drwxr-s---. 2 saml apache 4096 Feb 17 20:10 somedir/

прикоснуться к файлу как saml в этом каталоге

$ whoami
saml

$ touch somedir/afile
$ ll somedir/afile 
-rw-rw-r--. 1 saml apache 0 Feb 17 20:11 somedir/afile

Это даст вам примерно то, что вы хотите. Если вы действительно хотите именно то, что вы описали, я думаю, вам нужно прибегнуть к функциям списков контроля доступа, чтобы получить это (ACL).

ACL

Если вы хотите получить немного больше контроля над разрешениями для файлов, которые создаются в каталоге, somedir , вы можете добавить следующее правило ACL, чтобы установить разрешения по умолчанию, например так.

перед

$ ll -d somedir
drwxr-s---. 2 saml apache 4096 Feb 17 20:46 somedir

установите разрешения

$ sudo setfacl -Rdm g:apache:rx somedir
$ ll -d somedir/
drwxr-s---+ 2 saml apache 4096 Feb 17 20:46 somedir/

Обратите внимание на + в конце, это означает, что к этому каталогу применены списки контроля доступа.

$ getfacl somedir
# file: somedir
# owner: saml
# group: apache
# flags: -s-
user::rwx
group::r-x
other::---
default:user::rwx
default:group::r-x
default:group:apache:r-x
default:mask::r-x
default:other::---

после

$ touch somedir/afile
$ ll somedir/afile 
-rw-r-----+ 1 saml apache 0 Feb 17 21:27 somedir/afile
$ 

$ getfacl somedir/afile
# file: somedir/afile
# owner: saml
# group: apache
user::rw-
group::r-x              #effective:r--
group:apache:r-x        #effective:r--
mask::r--
other::---

Обратите внимание с разрешениями по умолчанию ( setfacl -Rdm ), установленными так, что разрешения ( rx ) по умолчанию ( g: apache: rx ). Это заставляет все новые файлы иметь только бит r .