好多版本的Linux都使用 pam_tally.so 对多次登陆失败的用户进行锁定，当用户超过登陆登陆失败的次数时，账户将被自动锁定。使用 passwd -u username 的解锁命令不能对账户解锁。只有先清空登陆失败次数才可以手动解锁，命令为：pam_tally –user –reset 。

如何利用 pam_tally.so锁定用户

可以在 /etc/pam.d/system-auth 中增加2行

auth  required  pam_tally.so  onerr=fail  no_magic_root
account  required  pam_tally.so   deny=3  no_magic_root  even_deny_root_account  per_user  reset

如果不想限制root用户，可以将 even_deny_root_account 取消掉。

因为pam_tally没有自动解锁的功能，所以，在设置限制时，要多加注意，万一全做了限制，而root用户又被锁定了，就只能够进单用户模式解锁了， 当然，也可以添加crontab任务，达到定时自动解锁的功能。

但需要注意的是，如果在/etc/pam.d/system-auth 文件中添加了pam_tally的话，当root被锁定后，crontab任务会失效，所以，最好不要在system-auth 文件中添加pam_tally。