Eu sei que o root pode modificar qualquer arquivo de configuração.
Como prática recomendada, gostaria de desabilitar a capacidade de root para su em contas que autenticam no NIS ou no Active Directory.
Como prática recomendada, gostaria de permitir o root su apenas em contas locais.MeuA definição de uma conta local é qualquer linha com um id em /etc/passwd (por causa do +user::::::acesso NIS).
Acho que envolveria a modificação da configuração do pam, mas não sei como.