Domyślnie w Debianie każdy użytkownik może używać polecenia su (w innych dystrybucjach jest z tym różnie). Oczywiście taki stan rzeczy to dziura w systemie. Każdy użytkownik może próbować odgadnąć hasło innego użytkownika używając su. Poprawić to możemy edytując plik /etc/pam.d/su. Musimy odkomentować (usunąć #) linię:

# auth      required pam_wheel.so

Od tej chwili, tylko użytkownicy należący do grupy root (w Debianie, w większości innych dystrybucja do grupy wheel). Grupę uprzywilejowaną możemy ustawiać poprzez dopisanie do powyższej linii group=grupa:

auth        required pam_wheel.so group=grupa