opção inativa não funciona para pam_lastlog.so

Estou tentando configurar meu sistema para bloquear usuários inativos após 10 dias. Estou usando o CentOS 6.xe olhando o manual do RHEL, isso é o que eu encontrei:

To lock out an account after 10 days of inactivity, add, as root,
the following line to the auth section of the /etc/pam.d/login file:
auth  required  pam_lastlog.so inactive=10

Então, este é meu /etc/pam.d/login:

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
auth       required     pam_lastlog.so inactive=10
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so

Faço login pelo ssh como usuário e faço logout.

Depois disso eu configurei o tempo 1 ano no futuro, como root logado no TTY1:

# date --set "...."
# hwclock --systohc

Eu mesmo reinicio a VM, mas ainda assim, quando ela volta, consigo fazer login como usuário por meio do ssh.

Alguma idéia do que estou fazendo errado aqui?