CentOS5.2 アカウントロックについて

お世話になっております。
現在、CentOSにて3回パスワードを間違えたとき、
そのアカウントをロックするという設定を行っております。

編集ファイルは下記です。
# vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
auth required pam_tally.so onerr=fail no_magic_root

account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
account required pam_tally.so deny=3 no_magic_root reset


password requisite pam_cracklib.so \
retry=5 minlen=8 dcredit=-2 ucredit=-1 lcredit=-1 ocredit=0

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remembe
r=8
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so


と上記の設定をしておりますが、何回パスワードを間違えても
アカウントロックがかからず、ログインできてしまいます。

他に何か設定が必要でしょうか？
ご教授願います。

No.4 回答者： mu-temp 回答日時： 2009/02/22 13:18

また覆してごめんなさい。

RHEL5の情報を見る限り、やっぱりdeny=3はauthの行に記述するみたいです。今手元にLinuxが無いので4.xでどうだったか確認できませんが、他のオプションと一緒に4→5で変わったのでしょうかねぇ。

参考URL：http://kbase.redhat.com/faq/docs/DOC-9771,http:/ …

No.3 回答者： mu-temp 回答日時： 2009/02/22 11:45

No.2です。

ごめんなさい、勘違いでした。

No.2 回答者： mu-temp 回答日時： 2009/02/22 11:40

deny=3を指定するのは、accountではなくauthの行ではありませんか？

No.1 回答者： Wr5 回答日時： 2009/02/19 02:01

CentOS5.2に入っているpam_tally.soにno_magic_rootというオプションは無いようです。

man pam_tallyによるとresetというオプションもなくなったようで。
http://axion.sakura.ne.jp/blog/index.php?UID=120 …

で、試してみましたが……
/var/log/faillogに記録はされるようですが、ロックされないですねぇ。

シェルスクリプトでも作成して、cronでfaillogを定期的にチェックするしかないんでしょうか？