Quando a associação do grupo wheel dá a um usuário acesso root completo através do sudo, normalmente ele é configurado assim no arquivo /etc/sudoers :
%wheel ALL=(ALL) ALL
Significado: "qualquer membro do grupo wheel em ALL hosts pode sudo para ALL contas de usuário para executar ALL comandos." Então, é exatamente o mesmo que sua linha "ruim":
bob ALL=(ALL) ALL
Se você quiser dar a um usuário (ou grupo) acesso total a uma conta específica de outro usuário e nada mais, faça da seguinte maneira:
user ALL=(targetuser) ALL
# or
%group ALL=(targetuser) ALL
Então, o (s) usuário (s) pode (m) fazer
$ sudo -u targetuser command
para executar rapidamente comandos individuais como o usuário de destino ou
$ sudo -iu targetuser
para obter um shell como o usuário de destino, com o mesmo ambiente exato em que o usuário de destino obteria ao efetuar login diretamente.
Por razões históricas, algumas pessoas usam reflexivamente sudo su - targetuser para o segundo propósito. Isso exigiria dar ao (s) usuário (s) em questão pelo menos acesso para executar o comando su - targetuser como root, e será mais difícil juntar os logs do que o usuário realmente fez. Esse comando foi útil quando sudo não tinha a opção -i , mas acho que essa opção já existe há 15 anos.