From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.5 required=5.0 tests=BAYES_00, DNS_FROM_OPENWHOIS, SPF_PASS autolearn=no version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=front.ru; s=dkim; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:References:Subject:To:MIME-Version:From:Date:Message-ID; bh=1XwYDjt0SKPCp6DHIReAaceoxbAU7CDpWhnv7LXpN+s=; b=Asg0CJtsombjNOsDi2Jr+QlJx9CuiJvMifkCcBgU0Q2aNB1iWYGr0eNJMOoZKHNPj28WDeguPX4txm6/cYN+0GG+DZJHE6SnxW9X/ymEcUhx85hi6c9A0DjFhJmYtEH5; Message-ID: <4D3EF6FE.3060604@front.ru> Date: Tue, 25 Jan 2011 19:14:54 +0300 From: =?KOI8-R?Q?=E1=CC=C5=CB=D3=C1=CE=C4=D2?= User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.8) Gecko/20100802 Thunderbird/3.1.2 MIME-Version: 1.0 To: ALT Linux sysadmins' discussion References: <4D31AE80.4090609@front.ru> <4D39D2D5.9050103@front.ru> <4D3AB39C.5090601@front.ru> In-Reply-To: <4D3AB39C.5090601@front.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-NoSpam-Exim-Host: 62.141.94.133 X-NoSpam-Exim-Port: 8092 X-NoSpam-Exim-Scanned: Yes X-NoSpam-Exim-Result: OK Subject: Re: [Sysadmins] vsftpd + pam-mysql auth problem X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 25 Jan 2011 16:15:04 -0000 Archived-At: List-Archive: 22.01.2011 13:38, Александр пишет: > попробую описать процесс: > имеем 530 ошибку - проблема в логине/пароле и/или правах. > проверяем пошагово. > mysql, БД vsftpd: > --- > CREATE TABLE IF NOT EXISTS `users` ( > `id` int(11) NOT NULL auto_increment, > `name` char(128) character set utf8 collate utf8_bin NOT NULL, > `passwd` char(128) character set utf8 collate utf8_bin NOT NULL, > PRIMARY KEY (`id`) > ) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=8 ; > +таблица для логов, но в аутентификации она не участвует. опустим. > в БД ходит юзер vsftpd с паролем LRqwQ > --- > pam.d/vsftpd: > #%PAM-1.0 > session optional pam_keyinit.so force revoke > auth required /lib/security/pam_mysql.so user=vsftpd passwd=LRqwQ > host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd > crypt=0 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user > logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost > logtimecolumn=logtime verbose=1 debug > > account required /lib/security/pam_mysql.so user=vsftpd passwd=LRqwQ > host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd > crypt=0 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user > logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost > logtimecolumn=logtime verbose=1 debug > --- > заходим (пытаемся) на ФТП пользователем test с plain-text паролем 111 > логи mysql queries: > --- > 89 Connect vsftpd@localhost on vsftpd > 89 Init DB vsftpd > 89 Query SELECT passwd FROM users WHERE name = 'test' > 89 Query INSERT INTO logs (msg, user, host, rhost, pid, logtime) VALUES > ('AUTHENTICATION FALURE (FIRST_PASS)', 'test', '(unknown)', > '192.168.хх.хх', '1', NOW()) > --- > логи PAM secure: > --- > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - option verbose is set to "1" > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - option debug is set to "" > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_close_db() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_sm_authenticate() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_open_db() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_open_db() > returning 0. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_check_passwd() > called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_format_string() > called > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_quick_escape() > called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - SELECT passwd FROM users > WHERE name = 'test' > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_check_passwd() > returning 6. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_sql_log() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_format_string() > called > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_quick_escape() > called. > Jan 22 11:49:33 nanoRED last message repeated 3 times > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - INSERT INTO logs (msg, user, > host, rhost, pid, logtime) VALUES ('AUTHENTICATION FALURE (FIRST_PASS)', > 'test', '(unknown)', '192.168.', '1', NOW()) > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_sql_log() > returning 0. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_converse() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_sm_authenticate() > returning 3. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_release_ctx() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_destroy_ctx() called. > Jan 22 11:49:33 nanoRED vsftpd: pam_mysql - pam_mysql_close_db() called. > --- > проблем с соединением с БД нет, данные читаются. > пароль выбирается из таблицы. > верно-ли из логов не ясно, но если повторить запрос напрямую, выбирается > верно. > интересное сообщение тут: > http://forum.altlinux.org/index.php/topic,5038.msg71717.html#msg71717 > > что дальше попробовать? > --- > vftpd.log > --- > Sat Jan 22 11:49:33 2011 [pid 2] CONNECT: Client "192.168." > Sat Jan 22 11:49:33 2011 [pid 2] FTP response: Client "192.168.", "220 > (vsFTPd 2.2.1)" > Sat Jan 22 11:49:33 2011 [pid 2] FTP command: Client "192.168.", "USER > test" > Sat Jan 22 11:49:33 2011 [pid 2] [test] FTP response: Client > "192.168.88.253", "331 Please specify the password." > Sat Jan 22 11:49:33 2011 [pid 2] [test] FTP command: Client > "192.168.88.253", "PASS " > Sat Jan 22 11:49:33 2011 [pid 1] [test] FAIL LOGIN: Client "192.168.88.253" > Sat Jan 22 11:49:34 2011 [pid 2] [test] FTP response: Client > "192.168.88.253", "530 Login incorrect." > Sat Jan 22 11:49:35 2011 [pid 2] FTP command: Client "192.168.", "QUIT" > Sat Jan 22 11:49:35 2011 [pid 2] FTP response: Client "192.168.", "221 > Goodbye." > --- > на папки /home/ftp и ниже даны права 777 для отладки > --- > vsftpd.conf: > --- > listen=YES > > #анонимам > anonymous_enable=NO > local_enable=YES > write_enable=YES > dirmessage_enable=YES > anon_mkdir_write_enable=YES > anon_upload_enable=YES > anon_other_write_enable=YES > > #логи > xferlog_enable=YES > log_ftp_protocol=YES > > connect_from_port_20=YES > nopriv_user=novsftpd > > #запираем юзеров в их папках > chroot_local_user=YES > > pam_service_name=vsftpd > > #говорим, что входящие - гости с именем ... > guest_enable=YES > guest_username=ftp_virtual > > secure_chroot_dir=/home/ftp > > #пользовательские конфиги > user_config_dir=/usr/local/etc/vsftpd/user_conf > > local_root=/home/ftp/$USER > user_sub_token=$USER > virtual_use_local_privs=YES > > --- > > > 21.01.2011 21:39, Александр пишет: >> разбираться будем с проблемой? >> имею мнение, что проблема с дистрибутивом ШС 5.0.2. >> если кто поопытней сможет проверить работоспособность связки >> vsftpd+pam-mysql буду оч благодарен. >> или как-то иначе, но надо решать. >> модуль pam-mysql - pam-mysql-0.7-alt10.RC1.i586.rpm >> >> >> 15.01.2011 17:26, Александр пишет: >>> Добрый день, >>> проблема состоит в невозможности аутентификации в vsftpd через pam-mysql >>> при хранении юзеров и паролей в БД. >>> как прийти к пониманию, на чём затык? >>> пароль не криптованные и криптованные не проходят. >>> в vsftpd.log >>> [login] fail login >>> >>> подобная тема уже была, но решения, я так понимаю, не нашли: >>> http://lists.altlinux.org/pipermail/sysadmins/2009-December/031524.html >>> проблема не в NSS. >>> >>> -- >>> С Уважением, Александр >> > Извиняюсь что ранее топ-квотинг использовал. одумался. узнавал у автора старого топика, годовалой давности, как он заборол проблему с авторизацией. ответ лаконичен - перешёл на FreeBSD. мне кажется, это не лучший выход для альт-линукса, когда с него слазят из-за проблем с авторизацией. может, кто-то может принять участие в локализации проблемы, поиске источника и устранении? переписка с самим-собой утомляет :) -- С Уважением, Александр