O bit chave do erro é
undefined symbol: selinux_check_access
Este símbolo deve estar em /lib64/libselinux.so.1 . Você pode querer verificar se o arquivo está presente, legível e tem uma boa soma de verificação.
Depois de atualizar o log seguro do PAM, é mostrado:
su: PAM unable to dlopen(/lib64/security/pam_rootok.so): /lib64/security/pam_rootok.so: undefined symbol: selinux_check_access
su: PAM adding faulty module: /lib64/security/pam_rootok.so
Dado o nome do arquivo, isso parece ser uma preocupação séria, mas não consigo encontrar nenhuma informação sobre o erro. Não deixo ninguém fazer logon neste servidor, portanto, não estou tentando proteger os usuários locais, mas ainda quero que o PAM funcione corretamente contra qualquer pessoa que tenha obtido acesso não autorizado.
Edit: pam_rootok.so existe e suas permissões são as mesmas dos outros arquivos em /lib64/security . Além disso, su parece funcionar, pois ainda posso migrar de usuários não raiz para raiz.