RHEL7ではdefaultでtally2が有効になっている
ある作業をしていて、別アカウントへsu。覚えているパスワードから変更されていたようで、何度パスワードを叩いてもエラーになる。それどころか、アカウントがロックされてしまう。うーん、そんな機能あるんだ。
とちょっと調べたところ、pamのモジュールでtally2ってのがその機能を提供している模様。RHEL7の /etc/pam.d/system-auth の最初の方がこうなっています。
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_tally2.so deny=10 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
二行めがそうですね。10度失敗したらアカウントをロックする。
解除するには以下。
# /sbin/pam_tally2 --user account_name --reset