Para bloquear o acesso ao comando 'su' e permitir somente que o grupo wheel tenha acesso ao comando, você pode fazer 2 passos diferentes, ambos funcionam:

1 - modificando permissões:

# chgrp wheel /bin/su
# chmod 4750 /bin/su
# /usr/sbin/usermod -G wheel alexandre

Descrição:

1. Mudo o grupo que pertence o arquivo /bin/su;
2. Altero as permissões para que somente dono e grupo executem;
3. Adicionei o usuário 'alexandre' ao grupo 'wheel'.

2 - modificando o /etc/pam.d/su

# vi /etc/pam.d/su

Adicione, abaixo da linha:

auth       sufficient   /lib/security/$ISA/pam_rootok.so

O seguinte conteúdo (caso não tenha a linha acima, coloque no início do arquivo):

(verifique o caminho das libs)

Salve o arquivo e efetue logoff da shell.

# /usr/sbin/usermod -G wheel alexandre

Aqui adicionei o usuário 'alexandre' ao grupo 'wheel'.

ATENÇÃO: sempre deixe uma shell logada como root antes de fazer qualquer alteração. Por que? Porque caso não funcione em seu sistema, você terá como desfazer as modificações. ;)

Sistemas FEDORA já vem com 2 linhas semi-prontas no /etc/pam.d/su.

Aconselho o uso da segunda opção em sistemas baseados no RedHat (Testei no Fedora). Tente a primeira somente se seu sistema ou o su não tenham suporte PAM.

Obrigado.

:P