Ce soir, comme j'avais rien d'autre à faire, je me suis dit que j'allais regarder un peu comment on faisait pour limiter l'usage de su avec PAM. Attention, ça décoiffe.

Pour commencer, loguez-vous en root (ou faites un su peu importe). puis tapez:

$ echo "auth       required   pam_wheel.so" >> /etc/pam.d/su

Voilà. C'est tout. Bon bien sur, ça c'était pour l'effet. Dans la pratique, il vaut mieux éditer le fichier /etc/pam.d/su et décommenter la ligne ad hoc, ou la rajouter si elle n'y est pas déjà :-) N'oubliez pas de vous ajouter un user dans le groupe wheel !