Как отключить su?

Я немного запутался насчет su. Я просто хочу, чтобы пользователи не использовали su по всем направлениям. Авторизованные пользователи будут иметь доступ к sudo, поэтому при желании они могут быть root. Мы просто хотим полностью отключить su в любом случае.

В этом источнике вы раскомментировали и заменили требуется авторизация pam_wheel.so на требуется авторизация pam_wheel.so use_uid из /etc/pam.d/su https // секуритронлинукс.com/bejiitaswrath/how-to-disable-the-su-to-root-in-linux-using-pam/ но на странице написано

Для этого пользователю потребуется войти в систему как root на терминале, чтобы иметь возможность используйте корневую подсказку.

поэтому я обеспокоен тем, что это помешает пользователям использовать sudo -s

Кроме того, мы не хотим, чтобы пользователи могли выйти в root, а затем su войти в учетные записи друг друга. Я вижу в /etc/pam.d/su

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

Безопасно ли мне комментировать эту строку? Это завершит достижение моей цели, не блокируя нас всех?