Unix socket listener
unix_socket_dir creates .s.PGSQL.<port> in the configured directory. Connect via psql -h <dir> or pgbench -h <dir> — no TCP overhead on local connections.
general:
unix_socket_dir: "/var/run/pg_doorman"
unix_socket_mode: "0660" # 0600 by defaultunix_socket_mode fixes permission bits on the socket file after bind, so access does not depend on the process umask.
local lines in pg_hba now match Unix socket connections; host/hostssl/hostnossl apply only to TCP. Previously local was parsed but ignored.
Known limitations
- Unix listener is not handed off during
SIGUSR2binary upgrade. The new process re-creates the socket; connections refused for ~100ms. only_ssl_connectionsdoes not reject Unix socket connections — Unix sockets do not need TLS for transport security.
openssl 0.10.78 (CVE-2026-41678, CVE-2026-41681)
Bumped openssl to 0.10.78 and openssl-sys to 0.9.114. API-compatible — no source changes.
Full changelog: https://ozontech.github.io/pg_doorman/changelog.html
Unix socket listener
unix_socket_dir создаёт .s.PGSQL.<port> в указанной директории. Подключаться через psql -h <dir> или pgbench -h <dir> — без накладных расходов TCP на локальных соединениях.
general:
unix_socket_dir: "/var/run/pg_doorman"
unix_socket_mode: "0660" # 0600 по умолчаниюunix_socket_mode фиксирует права на файл сокета после bind, чтобы доступ не зависел от umask процесса.
Записи local в pg_hba теперь матчатся для Unix-сокет соединений; host/hostssl/hostnossl применяются только к TCP. Раньше local парсилось, но игнорировалось.
Известные ограничения
- Unix listener не передаётся при бинарном апгрейде через
SIGUSR2. Новый процесс пересоздаёт сокет; соединения отбрасываются ~100 мс. only_ssl_connectionsне отклоняет Unix-сокет соединения — для них TLS не нужен.
openssl 0.10.78 (CVE-2026-41678, CVE-2026-41681)
Бамп openssl до 0.10.78 и openssl-sys до 0.9.114. API-совместимо — изменений в исходниках нет.
Полный changelog: https://ozontech.github.io/pg_doorman/changelog.html