/etc/sudoers.dディレクトリ配下を編集
rootユーザで/etc/sudoers.d配下に ban_commandファイル(このファイル名はなんでもいい)を作成。
# cd /etc/sudoers.d
# touch ban_command
# vi /etc/sudoers.d/ban_command
Cmnd_Alias BAN_COMMAND = /bin/su
<ユーザ名> ALL=NOPASSWD: ALL, !BAN_COMMAND
visudoで内容を確認し、「:q」でvisudoから抜ける
# visudo
suできないか確認
「Sorry〜」のメッセージが出力されればOK
$ su - <ユーザー名>
$ sudo su
Sorry, user <ユーザ名> is not allowed to execute '/bin/su' as root on ip-xx-xxx-xx-xx.ap-northeast-1.compute.internal.