Se você deseja que apenas alguns usuários sejam permitidos como destino para um comando su
, você pode colocar o seguinte em /etc/pam.d/su
:
auth requisite pam_listfile.so onerr=fail item=user sense=allow file=/etc/su-users
auth required pam_unix.so
agora, se você criar um arquivo /etc/su-users
com um usuário por linha, somente os usuários listados nesse arquivo poderão ser su
.