FreeBSDだとwheelグループ以外は
rootになれないようにデフォルトで設定されていますが、
linuxではパスワードさえわかれば一般ユーザーがrootになれます。

複数の一般ユーザーがログインするような環境では、
誰もがrootになれる（可能性がある）のは
セキュリティ上あまり好ましくないので、
特定のユーザー以外はsuできないような設定をしてみます。
環境はCentOS6ですが、他のlinuxでも同じ設定で実現出来そうです。

vi /etc/pam.d/su
—————–

auth required pam_wheel.so use_uid

auth required pam_wheel.so use_uid
—————–

設定はこれだけ。
wheelグループに属していないユーザー以外はsuが使えなくなります。
（suしようとしてもパスワードエラーになります。）

wheelグループ以外でsuできるグループを指定したい場合は、
—————–
auth required pam_wheel.so use_uid group=admin
—————–
で指定出来ます。