O objetivo é impedir que usuários comuns executem o comando su (su é semelhante a sudo, a diferença é que sudo executa um comando, su inicia uma nova sessão como um novo usuário, que dura até que o usuário execute exit)
O modo padrão de su é 4755 ou rwsr-xr-x, o "s" significa que o comando é set-UID (o que significa que ele sempre é executado como o usuário que o possui, em vez do usuário que acontece execute. Nesse caso, su é de propriedade de root, portanto, ele sempre é executado com privilégios de root)
Osu tem suas próprias medidas de segurança para garantir que o usuário que o executa tenha autoridade para se tornar outro usuário (normalmente solicitando a senha do outro usuário), mas é concebível que haja uma vulnerabilidade de segurança no su que permitir que um atacante de alguma forma o convença a fazer outra coisa sem autoridade.
Ao alterar o modo para 4750, ele impede que usuários comuns (usuários que não sejam root e aqueles no grupo sudo) leiam ou executem o mesmo, para que um invasor precise alterar a propriedade desse arquivo ou altere o modo do arquivo ou mude seu próprio UID / GID efetivo antes que eles possam tentar explorar essa vulnerabilidade teórica no su.
O comando dpkg-statoverride é útil nesta instância porque ele direciona o gerenciador de pacotes a usar esses valores de propriedade / modo para esse arquivo, mesmo que ele seja substituído por uma versão mais nova (por exemplo, via apt upgrade). Em outras palavras, isso torna mais permanente do que apenas um chown e um chmod.
Aqui está uma tática de propósito geral que eu recomendo para esta instância: Sempre que estou ajustando a configuração do su / sudo ou qualquer componente de autenticação em uma máquina Linux / UNIX, abro outra sessão ssh / putty para esse servidor e efetuo login como o usuário root e deixo essa sessão aberta em outra janela. Dessa forma, se eu estragar alguma coisa e me trancar, já tenho uma sessão de login onde posso consertar qualquer coisa que eu quebrei.