Veamos sus casos:
su -
ejecutará /bin/sh como usuario raíz utilizando el entorno raíz. Se necesita la contraseña raíz y el inicio de sesión PUEDE realizarse según la configuración de syslog (por lo general, está predeterminado en /var/log/auth.log).
sudo /bin/sh
ejecutará shell como el usuario raíz utilizando el conjunto actual de variables de entorno (con algunas excepciones, como se definiría en el archivo sudoers). La contraseña es la contraseña del usuario fuente y NO la contraseña del usuario raíz. Sudo generalmente se registra.
sudo su -
ejecutará un shell (normalmente /bin/sh) como usuario raíz configurando el entorno como usuario raíz. Esto requerirá la contraseña del usuario de origen y generalmente se registrará.
A veces es necesario tener el entorno raíz sobre su propio entorno, por lo que su - es un método adecuado. Recuerde que sudo aún registrará el uso del comando de shell en cualquier caso.