rootでsuを実行した時以外、rootにはなれないようにする。

/etc/pam.d/suで先頭がauthのものは削除するなりコメントアウトして、以下のように書き換える。

auth       sufficient pam_rootok.so
auth       required pam_deny.so

1行目でrootのみrootになれるようにする。
2行目でそれ以外は無効化。
「sudo su -」すればrootになれるので問題ない。

PAMの設定ファイルは順番が重要なので、/etc/pam.d/suの最後の方に

@include common-auth

とか書いてあるけど、その前にpam_deny.soの行が来るようにしてください。

あとPAMの設定ファイルいじる時は最低一つはログイン状態のセッション残しておいて、
編集後ログインできるのを確認してから安心してログアウトしましょう。
(以後、PAMの話題扱う時は言わないので、もしログインできなくなっても知りません...)