On Fri, 4 Jun 2010 13:11:26 +0800 Denis Feklushkin <[email protected]> wrote:
> proftpd не может по nss получать имена юзеров из postgresql и, > соответственно, не может их показать клиенту если их нет в кэше nscd. > при этом в лог сыпятся сообщения о невозможности подключиться к базе: > > # proftpd -n -d 1 > - mod_tls/2.1.2: compiled using OpenSSL version 'OpenSSL 0.9.8g 19 Oct 2007' > headers, but linked to OpenSSL version 'OpenSSL 0.9.8n 24 Mar 2010' library > s---m.com - ProFTPD 1.3.1 (stable) (built Thu Oct 29 09:01:50 UTC 2009) > standalone mode STARTUP > s---m.com (dnm.238.103.124.92.dsl.krasnet.ru[::ffff:92.124.103.238]) - FTP > session opened. > > Could not connect to database > > Could not connect to database > s---m.com (dnm.238.103.124.92.dsl.krasnet.ru[::ffff:92.124.103.238]) - USER > fakeuser: Login successful. > > и дальше обычный лог... > > > В результате невозможности соединиться с базой имена владельцев файлов и > группы клиенту фтп не видны: > > $ lftp [email protected] > Пароль: > lftp [email protected]:~> ls > drwxrwx--- 3 ftp (?) 4096 Jun 4 01:09 by_id > > > С другими юзерами nss отлично работает на этом хосте, даже с юзером proftpd: > > s12:~# su -p proftpd > s12:~$ ls -l /srv/dhcs/node/sites/by_id/ > итого 4 > drwxrws--- 3 ftp srv-813 4096 Июн 4 09:09 813 > > и даже база nss этому юзеру доступна как и всем прочим: > > s12:~$ psql "connect_timeout=3 host=s---m.com dbname=nss user=nss/dhcs > sslmode=verify-full sslrootcert=/etc/ssl/certs/my_cacert.pem" > psql (8.4.4) > SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256) > Type "help" for help. > > nss=> select 'test'; > ?column? > ---------- > test > (1 row) > > nss=> \q > could not save history to file "/var/run/proftpd/.psql_history": Отказано в > доступе > s12:~$ id > uid=105(proftpd) gid=65534(nogroup) группы=65534(nogroup) > > > Что за ерунда происходит? > > (Я подозреваю что дело в какой-то особой защите proftpd от взлома, > запрещающей исходящие соединения но точно не уверен) В логах postgresql при каждой попытке доступа к базе из профтпд появляется такое: 2010-06-05 22:05:52 UTC [unknown] [unknown] LOG: could not accept SSL connection: tlsv1 alert decrypt error -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
