Guia do Linux/Avançado/Restrições de acesso, recursos e serviços/Restringindo o comando su

Restrições de acesso através de grupos, bloqueio de acesso, acesso direto sem senha, etc. podem ser aplicados ao sudo via seu arquivo de configuração PAM /etc/pam.d/su. Abaixo um exemplo explicativo deste arquivo:

     # A configuração abaixo requer que o usuário seja membro do
     # grupo adm para usar o 'su'.
     # auth       required   pam_wheel.so group=adm

     # Membros do grupo acima não precisam fornecer senha, temos confiança neles.
     # auth       sufficient pam_wheel.so trust

     # Usuário que pertencem ao grupo "nosu" nunca deverão ter acesso ao 'su'
     # auth       required   pam_wheel.so deny group=nosu

     # O root não precisa fornecer senha ao 'su'
     auth       sufficient pam_rootok.so

     # Ativa as restrições PAM de /etc/security/limits.conf
     session    required   pam_limits.so

     # Isto ativa as restrições PAM de /etc/security/time.conf no
     # comando 'su'
     account    requisite  pam_time.so

     # Módulos padrões de autenticação Unix
     auth       required   pam_unix.so
     account    required   pam_unix.so
     session    required   pam_unix.so