como negar "sudo su"

Para evitar isso, você deve adotar uma abordagem diferente.
Se você não permitir sudo su eu ainda posso executar sudo -u root /bin/sh se você não permitir isso eu vou escrever um pequeno script wrapper e executar isso ...

A única maneira de resolver isso é apenas permitir os comandos necessários.

% sudo ALL = (ALL) NOPASSWD: ALL

Você deu aos usuários do grupo sudo controle total e irrestrito sobre o seu sistema. Tentar negar-lhes acesso ao binário su é o mesmo que outros consideraram fútil já que eles têm privilégios de root via sudo e membros do grupo.

Você deve analisar o fluxo de trabalho dos usuários no grupo sudo para determinar quais comandos eles precisam para serem executados como root e usar o sudo para conceder acesso exclusivo a esses comandos. Se necessário, escreva scripts e dê ao grupo sudo o acesso para executar o script (certifique-se de que eles não tenham acesso de gravação), em vez dos comandos individuais dentro dele.

Por exemplo, você pode determinar que seus usuários precisam usar kill e todos os comandos no diretório /usr/local/sudocmds (onde seus scripts locais estão ativos), então você daria a eles acesso sudo, como

%sudo    ALL=NOPASSWD: /usr/bin/kill, /usr/local/sudocmds

Você também pode usar aliases de comando

Cmnd_Alias     PRINTING = /usr/sbin/lpc, /usr/bin/lprm
Cmnd_Alias     DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump

%sudo ALL=NOPASSWD: PRINTING, DUMPS, /usr/bin/kill, /usr/local/sudocmds

Que adiciona os comandos no PRINTING e DUMPS Cmnd_Alias à lista de comandos que o grupo sudo pode executar.

Dê uma olhada na página do manual sudoers para mais informações e exemplos.

Não está claro o que você fez, mas você pode conceder privilégios de sudo para certos usuários / grupos e para comandos específicos. Para obter ajuda melhor, será melhor fornecer mais informações, como o conteúdo do arquivo sudoers e o que você tentou exatamente.