Problem mit Spamassassin und libnss-mysql

[Mordor]

Mahlzeit
Für die Verwaltung der User und Gruppen für Fcgi läuft bei mir auf dem Servern libnss-mysql mit nscd zum cachen. Gestern wollte ich dann Spamassassin über Maildrop einbinden. Dafür hab ich Spamassassin installiert, und in /etc/default/spamassassin den Daemon enabled. Es läuft also ein Spamd. In Maildrop wird Spamassassin über spamc aufgerufen.

Nun zum Problem:
Jedes mal, wenn Spamassassin über

/usr/bin/spamc -u mail@adresse.tld

aufgerufen wird, bekomme ich einen Logeintrag in dieser Art:

Aug 30 22:23:45 host1 nss-mysql[27424]: _nss_mysql_getspnam_r conf file parsing failed

Spamassassin versucht also anscheinend den User zu suchen.

Jetzt stellt sich die Frage, wie man das hinbekommen kann, dass diese Meldung nicht mehr bekommt, und alles reibungslos läuft. Leider hab ich bei Google nicht wirklich was dazu gefunden.

Vielleicht weiß ja jemand Rat.

Gruß Mordor

 

[Roger Wilco]

Die Meldung kommt, weil du (bzw. SpamAssassin) als nicht-root-Benutzer das Passwort eines Benutzers aus der Datenbank zu lesen. Also das Äquivalent zum Zugriff auf die /etc/shadow, was du wirklich nur root erlauben willst.

Vielleicht willst du die Benutzerdaten ja lieber direkt von SpamAssassin (mit einem unpriviligierten Datenbankbenutzer) aus der MySQL-Datenbank holen. -> http://svn.apache.org/repos/asf/spamassassin/branches/3.2/sql/README

 

[Mordor]

Danke schon mal. Das hat mich mit dem Verständniss ziemlich weiter gebracht.

Die Sache ist die, dass Spamassassin ja die Userdaten auf der Mysql-DB liest, und das auch macht. Zumindest sagt das der Test auf dem Link, den du gepostet hast. Nur frage ich mich, warum Spamassassin trotzdem noch versucht, die shadow zu lesen, obwohl die Daten aus der DB kommen. Ich poste jetzt einfach mal meine Konfigurationsdateien. Vielleicht hab ich auch nur was übersehen:

local.cf

user_scores_dsn DBI:mysql:einedb:localhost
user_scores_sql_username einuser
user_scores_sql_password einpasswort
user_scores_sql_custom_query SELECT preference, value FROM modules_sasettings_sa WHERE username = _USERNAME_ OR username = '$GLOBAL' OR username = CONCAT('%',_DOMAIN_) ORDER BY username ASC

/etc/default/spamassassin

# /etc/default/spamassassin
# Duncan Findlay

# WARNING: please read README.spamd before using.
# There may be security risks.

# Change to one to enable spamd
ENABLED=1

# Options
# See man spamd for possible options. The -d option is automatically added.

# SpamAssassin uses a preforking model, so be careful! You need to
# make sure --max-children is not set to anything higher than 5,
# unless you know what you're doing.

OPTIONS="--create-prefs --max-children 5 -q -x -u vmail -g vmail"

# Pid file
# Where should spamd write its PID to file? If you use the -u or
# --username option above, this needs to be writable by that user.
# Otherwise, the init script will not be able to shut spamd down.
PIDFILE="/var/run/spamd.pid"

# Set nice level of spamd
NICE="--nicelevel 10"

# Cronjob
# Set to anything but 0 to enable the cron job to automatically update
# spamassassin's rules on a nightly basis
CRON=0

Die Frage die ich mir gerade stelle ist, wie ich dem Spamassassin klar machen kann, dass er die finger von meinen Systemdateien lässt, und sich statt dessen nur auf die DB beschränkt. Denn eigentlich müsste das ja die Directive "-x" bei OPTIONS schon machen.

Danke schon mal

 

[Mordor]

Ich hab jetzt mal das Mailinglistenarchiev von Spamassassin gewälzt. Wenn ich das richtig sehe, ist das anscheinend ein bekanntes Problem. Obwohl Spamassassin eigentlich nur die passwd aufruft, hängt es irgendwie mit Perl zusammen, dass auch die shadow aufgerufen wird. In der Mailingliste geben sie einfach nur den Tip, dass man die Fehlermeldung ignorieren soll. Das kann doch aber auch nicht das wahre sein!!!???