Antes uma observação: se você estiver rodando o seu Linux com um usuário apenas não existe vantagem em se usar o Linux-PAM. (ver: http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam-3.html)
Em /etc/security/console.apps/ você (que usa RedHat) encontra arquivos com o mesmo nome de comandos (ex: reboot). Se você remover um destes arquivos então o comando deixa de ser habilitado para um usuário comum. Experimente: vá para o diretório /etc/security/console.apps/ e você provavelmente verá o arquivo "reboot" com zero bytes. Isto significa que o comando reboot pode ser dado pela console por um usuário comum. Experimente e veja que o comando reboot pede o password (do usuário) e faz o reboot. Remova /etc/security/console.apps/reboot e experimente agora o comando reboot: a senha é pedida, mas o reboot não ocorre.
agradecimento: esta dica inspira-se em um comentário feito pelo Renato Murilo Langona (http://www.linuxsecurity.com.br). Amanhã, estarei publicando a dica do Renato.
^JC