一般ユーザーが、root にスイッチ(su) できないように制限するには、/etc/pam.d/su ファイルを修正します。デフォルトでは、下記赤字部分がコメントアウトされているので、行先頭のコメント(#)を削除して"wheel"グループに所属し ていないユーザーは root にスイッチできないようにします。
"wheel"グループは、rootにスイッチできるユーザーを所属させるためのグループでデフォルトで用意されています。
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
auth include system-auth
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session optional pam_xauth.so
この設定後、rootへのスイッチ(su)を許可したいユーザーがある場合は、"wheel"グループに所属させます。
例えば、既存の"admin"ユーザーを"wheel" グループに所属させるには、以下のように "usermod"コマンドを使用します。
usermod -G wheel admin