suを実行出来るユーザーを制限する。wheelグループに属するユーザーのみ、su出来るようにする。昔は、/etc/login.defsにSU_WHEEL_ONLYを設定していたみたいだが、現在は使われていないみたいだ。man login.defsには、SU_WHEEL_ONLYの項目はなかった。

その代わり、/etc/pam.d/su に、

# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid

とするようである。

# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid

裏は取れていないが、こちらをコメントアウトすると、どうやらパスワード確認なしでrootになれるようである。