torradeira.net

Edite o arquivo su (mcedit /etc/pam.d/su) e adicione as duas linhas seguintes no arquivo:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

Após adicionar as duas linhas acima, o arquivo “/etc/pam.d/su” deve parecer-se com isto:

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
passwd required /lib/security/pam_cracklib.so
passwd required /lib/security/pam_pwdb.so shadow use_authok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so

Que significa que somente aqueles que são membros do grupo “wheel” podem fazer su
para root.. Isto também inclui o registro em arquivo de log. Observe que o grupo “wheel” é
uma conta especial em seu sistema que pode ser usada para este propósito. Você não poderá usar qualquer nome de grupo, caso queira adotar esta técnica. Esta técnica, combinada com a restrição de login de root pelos dispositivos TTY, melhorará em muito a segurança do seu sistema.

Passo 2
Agora que já definimos o grupo “wheel” no nosso arquivo de configuração “/etc/pam.d/su”, é hora de adicionar os usuários que terão permissão de fazer “su” para a conta “root”. Caso você queira tornar, como um exemplo, o usuário admin um membro do grupo “wheel” para que ele possa fazer um su para root, use o seguinte comando:

[root@deep /]# usermod -G10 admin