指定した回数ログインに失敗したらロックアウトすることでセキュリティを高める。
/etc/pam.d/system-loginを編集することで設定できる。
3回ログインを失敗したユーザーを10分間ログインできないようにする。

auth required pam_tally.so onerr=succeed file=/var/log/faillog

をコメントアウトし、

auth required pam_tally.so deny=2 unlock_time=600 onerr=succeed file=/var/log/faillog

を追加する。
書き換えでも問題ないと思うが、設定を戻したくなったときに元が何かわからないと困るため、コメントアウトしておく。