Isso pode ser obtido conforme indicado aqui adicionando a seguinte linha:
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
Para esses arquivos (alguns podem ainda não existir e ter que ser criados):
/etc/pam.d/gdm
/etc/pam.d/gdm-autologin
/etc/pam.d/gdm-fingerprint
/etc/pam.d/gdm-password
/etc/pam.d/gdm-smartcard
A pessoa que me indicou este link disse que preferia que eu escrevesse a resposta em vez dele (porque ele não tem um sistema para testar isso e prefere não escrever respostas cegas). Mas obrigado ainda vai para ele ( @Kusalananda ).