ある作業をしていて、別アカウントへsu。覚えているパスワードから変更されていたようで、何度パスワードを叩いてもエラーになる。それどころか、アカウントがロックされてしまう。うーん、そんな機能あるんだ。

とちょっと調べたところ、pamのモジュールでtally2ってのがその機能を提供している模様。RHEL7の /etc/pam.d/system-auth の最初の方がこうなっています。

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_tally2.so deny=10
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

二行めがそうですね。10度失敗したらアカウントをロックする。
解除するには以下。

# /sbin/pam_tally2 --user account_name --reset