Как можно запретить su -

Ну, вы всегда можете использовать традиционный BSD-маршрут ...

Создать группу - wheel - традиционное имя ...

Добавьте пользователей, которым разрешено использовать su , в эту группу - в вашем случае ни одного (возможно, кроме root , но root все равно разрешен).

Установить групповое владение su на wheel

Убрать другие права исполнения для su

К концу, ] su должен иметь право собственности root: wheel , и его разрешение должно быть: rws - x --- (т.е. chmod u = rwxs, g = x, o = su ) (или даже лучше; --s - x ---; т.е. chmod u = xs, g = x, o = su )

Это предотвратит всех, кроме root и члены wheel от выполнения su . Поскольку использование sudo эффективно делает любого пользователя root , sudo su ... также должно работать.

Если вы работаете в системе, которая использует PAM (например, почти все Linux-системы), то у вас есть еще несколько вариантов.

1. Отредактируйте /etc/pam.d/su и добавьте строку типа su auth required pam_wheel.so перед вашей LDAP/AD/etc. аутентификацией. Это даст вам группу wheel, используя PAM вместо права собственности на файл. Вы также можете делать гораздо более гибкие вещи, используя pam_succeed_if.
2. Отредактируйте то же самое, и либо измените auth sufficient pam_rootok.so (что позволяет root использовать su) на auth required pam_rootok.so (чтобы позволить только root использовать su), либо, как вариант, поставьте auth required pam_deny.so в какой-то момент.
3. В том же файле, вы можете сделать что-то вроде auth required pam_succeed_if.so uid ne $appuser, чтобы просто заблокировать su для пользователя приложения.

Заранее прошу прощения, я не тестировал ни один из этих вариантов.