私は気づいたpam_tally2廃止予定です。pam_faillockしかし、とにかく使用する必要があります。私が理解していないのは、これら2つのオプションの違いです。私にも同じように聞こえます。
lock_time=n
Always deny for n seconds after failed attempt.
unlock_time=n
Allow access after n seconds after failed attempt. If
this option is used the user will be locked out for the
specified amount of time after he exceeded his maximum
allowed attempts. Otherwise the account is locked until
the lock is removed by a manual intervention of the
system administrator.
答え1
lock_time説明に「以降」と書かれていると、より明確になります。各試行に失敗しました。 "lock_time追加ログイン試行をブロックNログイン試行が失敗した後の秒数。unlock_timeログイン試行をブロックN許可される最大ログイン試行失敗回数(を使用して指定)deny=n以降の秒数。
ソースコードを確認するとご覧いただけますunlock_time確認のためにブロックでのみ使用されます。denyとlock_timeすべての集計検査について。