root は任意の設定ファイルを変更できることは知っています。
ベスト プラクティスとして、NIS または Active Directory に対して認証するアカウントで root が su を実行できないようにしたいと思います。
ベストプラクティスとして、ローカルアカウントでのみ root に su を許可したいと思います。私のローカル アカウントの定義は、/etc/passwd 内の ID を持つ任意の行です ( +user::::::NIS アクセスのため)。
おそらく pam 構成の変更が必要になると思いますが、その方法がわかりません。