Да, есть способ ограничить это поведение. Такое поведение su регулируется модулем PAM (Plugable Authentication Module):
Вы должны отредактировать /etc/pam.d/su
прокомментировать строку:
auth sufficient pam_rootok.so
следующим образом:
#auth sufficient pam_rootok.so
после этот su от root запросит пароль пользователя.