su a sudo jsou úplně jiné věci ;)
Zamezíš jim (a) v případě su konfigurací pam_wheel, pokud ho tvůj systém má (b) v případě sudo v konfiguráku explicitním nastavením lidí, co mohou daný příkaz spouštět (c) jako u čehokoli změnou skupiny těch binárek na skupinu lidí, kteří to mohou spouštět, a odebráním práva na spouštění pro všechny (other).
su ti proste muze dat libovolny prikaz pod zmenenym uzivatelem. (s prichodem pam se su priblizilo moznostem sudo)
se sudo mas trosku vic explicitni kontroly proti su nad tim kdo co muze spoustet... (v su to musis resit klasickymi oklikamy, kterymi to jde i se sudo)
Docela zasadni rozdil je taky v tom, ze do suda pises vlastni heslo (ktere typicky clovek zna), zatimco do su heslo ciloveho uzivatele (cti roota - ktere clovek ne nutne zna).