sudoでパスワードを正常に入力して認証が成功してもpam_tally2でのfailureカウントがカウントアップされるというレポート。確認のために別アカウントを作成して現象を確認。たしかにカウントアップされるみたい。

なぜだ。sudo,tally2でgoogle先生に聞くとRHELのMLで複数スレッドが見つかる。
どうも /etc/pam.d/system-auth-acの pam_unix.soの下にpam_tally2.soをいれるといいみたい。

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

なんでだろ。