Dê uma olhada em faillog :
-m, --maximum MAX
Set the maximum number of login failures after the account is disabled to MAX
Portanto, faillog -m 5 -u user deve permitir que o usuário user 5 tente inserir sua senha corretamente.
O seguinte bloqueará a conta do usuário após X tentar.
Adicione isto à sua configuração do PAM e mude de acordo com os seus desejos:
auth required pam_tally.so onerr=fail deny=3
account required pam_tally.so reset
BTW, I pesquisou no Google .
editar : errou na primeira vez.