Domyślnie w Debianie każdy użytkownik może używać polecenia su (w innych dystrybucjach jest z tym różnie). Oczywiście taki stan rzeczy to dziura w systemie. Każdy użytkownik może próbować odgadnąć hasło innego użytkownika używając su. Poprawić to możemy edytując plik /etc/pam.d/su.
Musimy odkomentować (usunąć #) linię:
# auth required pam_wheel.so
Od tej chwili, tylko użytkownicy należący do grupy root (w Debianie, w większości innych dystrybucja do grupy wheel). Grupę uprzywilejowaną możemy ustawiać poprzez dopisanie do powyższej linii group=grupa:
auth required pam_wheel.so group=grupa