嘘1

• /etc/pam.d/su

auth    required    pam_wheel.so group=wheel

だと、root になれるのが wheel ではなく
そもそも su できるのが wheel グループに所属するメンバだけになる。
ので、以下のように書くと、本当に wheel グループだけが
su して root になることができ、グループに属さないユーザは
su - <一般ユーザ> なら行うことができる

• /etc/pam.d/su

auth    required    pam_wheel.so root_only group=wheel

嘘2

嘘か分からないけれど、以下のファイルも編集するといいらしい

• /etc/login.defs

SU_WHEEL_ONLY  # ← コメントをはずす

調べると記事によっては

SU_WHEEL_ONLY yes

とする。などと書いてある場合があるけれど
Debian なのか、最近のバージョンなのか
yes と書くとむしろエラーになってしまう。