为了更进一步加强系统的安全性，有必要建立一个管理员的组，只允许这个组的用户来执行“su - ”命令登录为root用户，而让其他组的用户即使执行“su - root”，输入了正确的root密码，也无法登录为root用户。在Linux下，这个组的名称通常为“wheel”。


禁止非wheel组用户切换到root
[root@localhost ~]# vi /etc/pam.d/su       
#auth required pam_wheel.so group=wheel --将#auth改行注释掉普通用户就可以切换到root                             
auth required pam_wheel.so group=wheel  --将auth改行没有注释掉普通用户就没办法切换到root

2、修改 /etc/login.defs 文件
[root@localhost ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs　
以上操作完成后，添加语句到文件行末，可以再建立一个新用户，然后用这个新建的用户测试会发现，没有加入到wheel组的用户，执行“su - root”命令，即使输入了正确的root密码，也无法登录为root用户

3、通过oracle用户登录尝试切换root                                                                                                              
[oracle@localhost ~]$ su - root     #即使密码输入正确也无法切换到root
密码：
su: 拒绝权限

4、把root用户加入wheel组再尝试切换，可以切换        
[root@localhost ~]# usermod -G wheel oracle   #将普通用户oracle加在管理员组wheel组中                                                                                                
[root@localhost ~]# su - oracle                                                                            
[oracle@localhost ~]$ su - root           #这时候我们看到是可以切换了              
Password:    


5、su: 鉴定故障
切换到oracle用户，执行sudo su ，输入oracle用户的密码。
[oracle@localhost ~]$ sudo su

我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点：

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大，责任越大。

[sudo] oracle 的密码：

[root@localhost oracle]# su - oracle

[oracle@localhost ~]$ su - root
密码：

#输入密码，正常su到root用户

6、将oracle用户从wheel组中删除
[root@localhost ~]# gpasswd wheel -d oracle
正在将用户“oracle”从“wheel”组中删除



本文参考资料：http://blog.itpub.net/30345407/viewspace-2155298/