В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям 
только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt. 

Для этого редактируем файл /etc/login.access:

   -:root:ALL #запрещаем любые логины root
   -:ALL:ttyv0 # первая консоль только для логов
   +:dm:ttyv1 ttyv2 ttyv3 ttyv4 ttyv5 ttyv6 ttyv7 ttyv8 # доступ с консоли
   +:dm:10.1.1.1 192.168.6.100 # доступ по сети(тут указывать либо ip, либо 
        # доменное имя. Для ssh рекомендую UseDNS no в /etc/ssh/sshd_config)
   -:ALL:ALL # всё остальное запрещено

ВАЖНО! начиная с версии 5.2 su стал проверять "target user" по login.access, те
при таких настройках
можно будет залогинится, но su не будет работать - pam_login_access: 
   pam_sm_acct_mgmt: root is not allowed to log in on /dev/ttyp3 su: Sorry. 

Для исправления надо редактировать /etc/pam.d/su:

   account
   #account                include         system #закомментировать
   account         required        pam_unix.so # добавить