Мне нужно сделать исключение для конкретного пользователя, чтобы его неудачные попытки входа не учитывались pam_tally2, и что ж, это не учетная запись root (я бы использовал magic_root затем).
Это выполнимо?
Вы можете использовать pam_succeed_if модуль в вашем стеке, чтобы предоставить исключения для некоторых пользователей. Проверить pam_succeed_if(8) man-страницу для подробного объяснения синтаксиса. Примером может быть:
auth [success=1 default=ignore] pam_succeed_if.so gid eq 2000
auth required pam_tally2.so deny=5 onerr=fail unlock_time=1200
Это означает, что если pam_succeed_if тест возвращается успешно, т.е. для всех пользователей в группе с GID 2000 пропустите следующий тест (pam_tally2); если тест вернет ошибку, проигнорируйте ее и продолжите.
Несколько pam_succeed_if тесты могут быть сложены для более детального контроля.