Sim, esta é uma má ideia. Você não precisa de sudo su - , ensine seus usuários a fazer sudo -i . O que significa que você não precisa de su e pode configurar sua configuração de pam para permitir que apenas o root use su .
Não é mais necessário usar as permissões do sistema de arquivos /bin/su , o que é bom, porque qualquer atualização de su as restauraria para seus padrões.