Depende! Se o seu arquivo de login honra o que está no arquivo pam.d common-auth, então você pode ...
Abra o arquivo de autenticação comum para editar sudo nano /etc/pam.d/common-auth . Adicione as duas linhas seguintes no topo.
auth required pam_tally.so onerr=fail deny=3
account required pam_tally.so reset
(pode haver melhores opções de configuração para common-auth, mas isso parece funcionar; eu estaria disposto a editar se alguém puder melhorar)
Para redefinir os bloqueios da conta na reinicialização, edite o crontab do root com sudo crontab -e e adicione a seguinte linha na parte inferior:
@reboot /usr/bin/faillog -a -r
Se você quiser enviar um email, então talvez seja melhor fazer um script para rodar na inicialização (via crontab do root) que realize tudo o que você desejar em vez de executar o comando acima com o crontab do root. O roteiro seria algo como isto ...
#!/bin/bash
# Do check to see if specific account is locked
user=NAME_OF_ACCT_TO_CHECK
failCount=$(faillog -u $user | grep -P "^$user" | awk '{print $2}')
if [ $failCount -ge 3 ]; then
# send your email
# do whatever else you want to do when account is locked
fi
# reset counts
faillog -a -r