Можете ли вы заставить `su` потребовать пароль, даже если он вызван с sudo?

Итак, я недавно обеспечил свой вход в систему root и все sudo запросы с двухфакторной аутентификацией. Тем не менее, я заметил, что если пользователь с доступом sudo, у которого нет поддержки 2FA, может легко sudo su и получить полный доступ root. В принципе, я хочу убедиться, что этого не может быть, и он все равно попросит пароль root, если вы попытаетесь su root или sudo su.