pam faillock preauth - was macht es?

Ich habe eine Datei /etc/pam.d/password-auth, die dies sagt (teilweise). Ich habe Zeilennummern hinzugefügt, die nicht in der Originaldatei enthalten sind.

1 auth required pam_env.so 2 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900 3 auth [success=1 default=bad] pam_unix.so 4 auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900 5 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900 6 auth required pam_deny.so 

Ich verstehe nicht, was Linie 2 macht. Die restlichen Zeilen verstehe ich:

1. Legen Sie meine Umgebungsvariablen fest
2. ???
3. Überprüfen Sie das Passwort des Benutzers. Wenn das Passwort gut ist, dann springen Sie in Zeile 5.
4. Das Passwort war schlecht. Protokolliere diese Tatsache in der Faillock-Tabelle. Stoppen Sie die Verarbeitung des Passworts. Anmeldeversuch ablehnen Wenn wir 5 falsche Anmeldeversuche haben, sperren Sie das Konto für 15 Minuten.
5. Das Passwort war gut. Löschen Sie die Faillock-Tabelle für diesen Benutzer. Erlaube ihm, dich einzuloggen und fortzufahren. Stoppen Sie die Verarbeitung.
6. Wir sollten wahrscheinlich nie zu dieser Zeile gelangen, aber wenn dies der Fall ist, lehnen Sie den Anmeldeversuch ab.

Was ist der Zweck von Zeile 2? Keiner meiner Tests hat einen bestimmten Grund gezeigt, warum er es hat oder nicht. Die Manpage sagt:

Das Modul prüft lediglich, ob der Benutzer für den Zugriff auf den Dienst gesperrt werden soll, falls in letzter Zeit eine ungewöhnliche Anzahl von fehlgeschlagenen aufeinander folgenden Authentifizierungsversuchen aufgetreten ist.

Ich dachte, das bedeutet

Prüfen Sie, ob das Konto gesperrt ist. Wenn das Konto gesperrt ist, ist es egal, welches Passwort eingegeben wird. Wir lehnen den Anmeldeversuch ab.

... aber das ist nicht der Fall. Soweit ich das beurteilen kann, sperrt die authfailLeitung tatsächlich das Konto, und das Konto kann nicht mit oder ohne preauthLeitung angemeldet werden .

Was tut es (wenn überhaupt) eigentlich?