在 Ubuntu 14 和 16 上尝试失败后 pam_tally2 不会锁定用户

我不确定这个问题是出在pam_tally2它本身还是出在 Ubuntu 上，这正是我想找出的。 pam_tally2由于某种原因，在 14 和 16 上出现了问题。我的/etc/pam.d/common-auth文件如下：

auth      required      pam_env.so
auth      required      pam_tally2.so deny=5 unlock_time=900 onerr=fail
auth      [success=1 default=ignore]   pam_unix.so nullok_secure
auth      requisite     pam_deny.so
auth      required      pam_permit.so 
auth      optional      pam_cap.so

前两行是我根据以前的论坛和手册页手动插入的。（为了测试目的，我将 改为 和 改为 ，deny以免=3测试unlock_time时间=20太长）。

1. 这样做之后，似乎没有任何效果，直到我重新启动机器，这与 pam 不同，pam 通常会立即生效。
2. 重新启动并故意输入错误密码 3 次后，我成功被锁定 20 秒，但我注意到计数器显示我失败了 4 次，但实际上只有 3 次。另请注意，当输入错误密码时，通常会显示Invalid password, please try again红色文本的消息，而一旦系统被锁定，则会显示消息Account locked due to 4 failed logins, appears in white text。
3. 等了20秒，输入正确的密码后，还是失败了一次，然后失败文本又变成了原来的红色文本，但当我再次正确输入密码后，账户锁定似乎只在系统重启后的第一次登录时起作用。如果我那一次登录正确或故意登录失败，那么之后无论我失败多少次，我都可以登录。

一些论坛和博客说您还需要输入：

account     required     pam_tally2.so

文件中common-account还

其他论坛建议将上述行放在文件中，但common-auth同时将所有选项也放在文件中。这两种方法似乎都无法使 pam_tally2 正常工作。

我也尝试过实验性地把

account     required     pam_env.so

作为文件common-account的第一行。这似乎不起作用，也没有改变任何东西。

我尝试过将两个文件中的pam_env.so行放在上方和下方的pam_tally2.so所有可能组合中，但这似乎并不能纠正行为。

如果有人知道为什么pam_tally2.so无法正常工作，或者这是 Ubuntu 的一个错误，请告诉我。感谢您的时间。