pam faillock preauth - o que isso faz?

Eu tenho um arquivo /etc/pam.d/password-auth que diz isso (em parte). Eu adicionei números de linha que não estão no arquivo original.

1 auth required pam_env.so
2 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
3 auth [success=1 default=bad] pam_unix.so
4 auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
5 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900
6 auth required pam_deny.so

Eu não entendo o que a linha 2 está fazendo. O resto das linhas eu entendo:

1. Definir minhas variáveis de ambiente
2. ???
3. Verifique a senha do usuário. Se a senha estiver boa, pule para a linha 5.
4. A senha estava ruim. Registre esse fato na tabela do faillock. Pare de processar a senha. Rejeite a tentativa de login. Se tivermos 5 tentativas de login incorretas, bloqueie a conta por 15 minutos.
5. A senha foi boa. Limpe a tabela de faillock para este usuário. Permitir que ele faça o login e continue. Parar o processamento.
6. Provavelmente nunca devemos chegar a esta linha, mas se o fizermos, rejeite a tentativa de login.

Qual é o propósito da linha 2? Nenhum dos meus testes mostrou qualquer razão específica para tê-lo ou não. A man page diz:

The module just examines whether the user should be blocked from accessing the service in case there were anomalous number of failed consecutive authentication attempts recently.

Eu pensei que isso significa

Check to see if the account is locked. If the account is locked, then it doesn't matter what password is entered, we will reject the login attempt.

... mas esse não é o caso. Tanto quanto eu posso dizer, a linha authfail está realmente bloqueando a conta, e a conta não pode estar logada com ou sem a linha preauth .

Então, o que (se alguma coisa) está realmente fazendo?