Я знаю, что root может изменить любой файл конфигурации.
В качестве наилучшей практики я бы хотел отключить возможность root-пользователя выполнять su для учетных записей, которые проходят аутентификацию с помощью NIS или Active Directory.
В качестве наилучшей практики я бы хотел разрешить root выполнять su только для локальных учетных записей.МойОпределение локальной учетной записи — это любая строка с идентификатором в /etc/passwd (из-за +user::::::доступа NIS).
Полагаю, это потребует изменения конфигурации pam, но я не совсем понимаю, как это сделать.