Percebo que pam_tally2 está obsoleto em favor de pam_faillock , mas tenho que usá-lo de qualquer maneira. O que eu não entendo é a diferença entre essas duas opções. Eles soam idênticos para mim:
lock_time=n
Always deny for n seconds after failed attempt.
unlock_time=n
Allow access after n seconds after failed attempt. If
this option is used the user will be locked out for the
specified amount of time after he exceeded his maximum
allowed attempts. Otherwise the account is locked until
the lock is removed by a manual intervention of the
system administrator.
Seria mais claro que
lock_timea descrição dizia "após cada tentativa fracassada".lock_timebloqueia outras tentativas de login por n segundos quando você falha em uma tentativa de login.unlock_timebloqueia tentativas de login por n segundos após o máximo permitido de tentativas de login com falha (especificadas usandodeny=n).Você pode verificar o código-fonte para ver que
unlock_timeé usado apenas no bloco para verificaçãodenyelock_timeé usado para cada verificação de contagem .