Restringir su para que funcione apenas para um subconjunto de logins de usuários soa como uma boa maneira de endurecer a segurança. É para isso que o pam_wheel é.
Examples
The root account gains access by default (rootok), only wheel members can become root (wheel) but Unix authenticate non-root applicants.
su auth sufficient pam_rootok.so su auth required pam_wheel.so su auth required pam_unix.so
systemd-run (e machinectl , como menciona na página man ) permite executar comandos como raiz. Ele usa o PolicyKit para autenticação / autorização. Não abre uma sessão de pam.
Então ... agora as grandes distribuições são todas padronizadas para systemd, qual é a configuração equivalente a pam_wheel, para esses métodos systemd ?
Para o endurecimento total, isso pode se aplicar a alguns outros serviços. Algumas operações libvirt estão disponíveis apenas como root. Então, por padrão, desconfio que isso não seja muito diferente do Docker. Conceder acesso ao daemon do Docker (o arquivo de soquete do qual ele lê solicitações) é equivalente ao acesso root, com muito pouco trabalho necessário.
Se isso não é tão simples de configurar como pam_wheel, existe alguma automação conveniente disponível para aplicá-lo? Pessoalmente, eu já estou usando o Ansible para alguma automação, mas estou interessado em qualquer script disponível como exemplos.