「su」の使用を制限する設定
1.etc/login.defsに以下設定を追記*1
 「SU_WHEEL_ONLY yes」


2./etc/pam.d/suに以下の行を追記
 auth required pam_wheel.so use_uid*2
 auth required /lib/security/$ISA/pam_wheel.so use_uid
 auth required /lib/security/pam_wheel.so group=wheel
 auth required /lib/security/pam_wheel.so use_uid group=wheel

3.wheelグループに「su」を利用できるユーザを追加
 gpasswd -a [suを使用させたいユーザ名] wheel


注意事項
・動作確認をrootから離れる前に必ず実施する
・想定どおりの動作をしない場合は以下のようにdebugを指定すると、syslogになにかしら吐いてくれるらしい
auth required pam_wheel.so use_uid debug


〜備考〜
・なぜ、これで「su」を制限できるのか
suコマンドはPAM*3を使って認証を行っている。
なので、/etc/pam.d/suの設定をいじることにより、制限が可能なのだとか。


・グループはwheelでないとダメなのか
どうも、昔の名残みたい。
wheel以外のグループでも可能で、その場合はpam_wheel.soの行に「group=グループ名」を以下のように追記すれば良い。
auth required pam_wheel.so use_uid group=[「su」を許可させたいグループ名]

*1:最近のOSでは不要のよう

*2:基本は、この一行のみでよいみたい

*3:Pluggable Authentication Moduleの略。 認証処理を実行するプログラム群。