Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

key data is not secure: opendkim is in group 5001 which has multiple users

Fehler gefunden? Bitte hier melden.
Antworten
suhype
Beiträge: 5
Registriert: Mo 22. Feb 2021, 12:51

key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von suhype »

Hallo zusammen,

Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Der Empfang funktionierte einwandfrei. Allerdings habe ich beim Senden folgenden Fehler im OpenDKIM Log erhalten:

Code: Alles auswählen

key data is not secure: opendkim is in group 5001 which has multiple users
Wenn ich das überprüfe, kommt folgendes dabei raus (ist aber für mich nicht auffällig):

Code: Alles auswählen

# cat /etc/passwd /etc/group | grep opendkim
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
opendkim:x:121:
Gemäss diesem Artikel habe ich die Berechtigungen überprüft, welche alle korrekt zu sein scheinen.

Code: Alles auswählen

# l /etc/opendkim* /etc/opendkim/keys/*
-rw-r--r-- 1 root     root     1910 Feb 22 11:50 /etc/opendkim.conf

/etc/opendkim:
insgesamt 16
drwx------ 5 opendkim opendkim 4096 Feb  4 15:27 keys
-rw-r--r-- 1 opendkim opendkim  292 Feb  4 15:27 key.table
-rw-r--r-- 1 opendkim opendkim  115 Feb  4 15:27 signing.table
-rw-r--r-- 1 opendkim opendkim   40 Nov  1 22:40 trusted

/etc/opendkim/keys/example1.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Feb  4 15:27 default.private
-rwx------ 1 opendkim opendkim  522 Feb  4 15:27 default.txt

/etc/opendkim/keys/example2.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov  5 14:53 default.private
-rwx------ 1 opendkim opendkim  518 Nov  5 14:53 default.txt

/etc/opendkim/keys/example3.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov  3 20:03 default.private
-rwx------ 1 opendkim opendkim  526 Nov  3 20:03 default.txt
In /etc/opendkim.conf habe ich folgende Zeile hinzugefügt und der Versand funktioniert nun:

Code: Alles auswählen

RequireSafeKeys         False
Allerdings ist das meines erachtens nur eine temporäre Lösung und ich würde gerne wissen, was genau das Problem ist.

Hatte jemand bereits das gleiche Problem, oder eine Idee woran das liegen könnte?


Zu mein System:
Betriebssystem: Debian 10.8 (64-bit)
Kernel: 4.19.0-13-amd64
Administrations-Panel: 20.3.2 (Build 2131) Änderungsprotokoll
Mail Transfer Agent: Postfix 3.4.14
Mail Delivery Agent: Dovecot 2.3.4.1
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1683
Registriert: Mi 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von Alexander »

Hallo,

Was gibts an weiteren Informationen über die Gruppe 5001 zu berichten, wer steckt dort drin etc.?
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Beiträge: 5
Registriert: Mo 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von suhype »

Hallo Alexander,

Die Gruppe 5001 ist die Gruppe meines ersten KeyHelp Benutzers. Die Gruppe heisst gleich wie der Benutzer selber:

Code: Alles auswählen

# cat /etc/group /etc/passwd | grep 5001
myuser:x:5001:
myuser:x:5001:5001::/home/users/myuser/:/bin/false
Ansonsten ist - glaube ich jedenfalls - nichts speziell an dem Benutzer.
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1683
Registriert: Mi 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von Alexander »

Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Kannst du einmal beschreiben wie diese Migration ablief?
Im normalen KeyHelp Betrieb sollte der Fehler sich nicht reproduzieren lassen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Beiträge: 5
Registriert: Mo 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von suhype »

Folgende Schritte habe ich unternommen:
  1. Neuen Benutzer und Domain im KeyHelp als Admin erstellt (UID 5003 ; GID 5003)
  2. Als Benutzer eingeloggt und die E-Mail-Adressen erstellt
  3. DNS angepasst (wird extern gehostet)
  4. E-Mails mittels imapsync migriert
  5. Gewartet bis der DNS bei allen Root Servern übernommen wurde und getestet
Was ich noch vergessen habe zu erwähnen:
Der OpenDKIM Service lief zu vor der Migration gar nicht. Ich bin aber nicht sicher ob der Service von Anfang an nicht lief oder z.B. erst nach einem KeyHelp- oder System-Update nicht mehr...
Ich musste den Pfad zum PID-File des Services (/lib/systemd/system/opendkim.service) anpassen:

Code: Alles auswählen

Vorher:  PIDFile=/var/run/opendkim/opendkim.pid
Nachher: PIDFile=/run/opendkim/opendkim.pid
/var/run ist ein Symlink zu /var und systemd hat anscheinend Probleme damit.


Auf dem System lediglich KeyHelp und Docker. Mit dieser Konfiguration hatte ich aber nie Probleme.

Danke für Deine Hilfe!
Benutzeravatar
Florian
Keyweb AG
Beiträge: 287
Registriert: Mi 20. Jan 2016, 02:28

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von Florian »

Hallo,

was gibt denn "id opendkim" aus?
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Beiträge: 5
Registriert: Mo 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von suhype »

Hallo Florian

Wie folgt:

Code: Alles auswählen

# id opendkim 
uid=115(opendkim) gid=121(opendkim) Gruppen=121(opendkim)
marci
Beiträge: 6
Registriert: Mi 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von marci »

selber Fehler hier...



id opendkim
uid=115(opendkim) gid=119(opendkim) groups=119(opendkim)


key data is not secure: / is writeable and owned by uid 5001 which is not the executing uid (115) or the superuser
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1683
Registriert: Mi 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von Alexander »

Ihr könnt ja einmal den kompletten Inhalt von /etc/passwd und /etc/group zur Verfügung stellen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
marci
Beiträge: 6
Registriert: Mi 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von marci »

Code: Alles auswählen

# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
_apt:x:104:65534::/nonexistent:/bin/false
messagebus:x:105:109::/var/run/dbus:/bin/false
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:112::/var/cache/bind:/bin/false
mysql:x:108:113:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/bin/false
ftp:x:110:65534::/srv/ftp:/bin/false
postfix:x:111:114::/var/spool/postfix:/bin/false
policyd-spf:x:112:116::/nonexistent:/bin/false
dovecot:x:113:117:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
dovenull:x:114:118:Dovecot login user,,,:/nonexistent:/bin/false
vmail:x:5000:5000::/var/mail:
opendkim:x:115:119::/var/run/opendkim:/bin/false
clamav:x:116:120::/var/lib/clamav:/bin/false
postgrey:x:117:121::/var/lib/postgrey:/bin/false
amavis:x:118:122:AMaViS system user,,,:/var/lib/amavis:/bin/sh
debian-spamd:x:119:123::/var/lib/spamassassin:/bin/sh
meinbenutzer:x:5001:5001::/home/users/meinbenutzer/:/bin/false
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin

Code: Alles auswählen

# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:106:
crontab:x:107:
netdev:x:108:
messagebus:x:109:
ssh:x:110:
ssl-cert:x:111:
keyhelp:x:1000:
bind:x:112:
mysql:x:113:
keyhelp_file_manager:x:1001:meinbenutzer
keyhelp_nossh:x:1002:meinbenutzer
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
postfix:x:114:
postdrop:x:115:
policyd-spf:x:116:
dovecot:x:117:
dovenull:x:118:
vmail:x:5000:
opendkim:x:119:
clamav:x:120:amavis
postgrey:x:121:
amavis:x:122:clamav
debian-spamd:x:123:
meinbenutzer:x:5001:
kvm:x:105:
render:x:124:
systemd-coredump:x:999:
mlocate:x:125:
suhype
Beiträge: 5
Registriert: Mo 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von suhype »

Code: Alles auswählen

# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:110::/nonexistent:/usr/sbin/nologin
sshd:x:105:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
ntp:x:106:112::/nonexistent:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:114::/var/cache/bind:/usr/sbin/nologin
mysql:x:108:115:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/usr/sbin/nologin
ftp:x:110:65534::/srv/ftp:/usr/sbin/nologin
postfix:x:111:116::/var/spool/postfix:/usr/sbin/nologin
policyd-spf:x:112:118::/nonexistent:/usr/sbin/nologin
dovecot:x:113:119:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
dovenull:x:114:120:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
vmail:x:5000:5000::/var/mail:/bin/sh
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
clamav:x:116:122::/var/lib/clamav:/bin/false
postgrey:x:117:123::/var/lib/postgrey:/usr/sbin/nologin
debian-spamd:x:118:124::/var/lib/spamassassin:/bin/sh
amavis:x:119:125:AMaViS system user,,,:/var/lib/amavis:/bin/sh
benutzer1:x:5001:5001::/home/users/benutzer1/:/bin/false
benutzer2:x:5002:5002::/home/users/benutzer2/:/bin/false
bitwarden:x:1001:1006:,,,:/home/bitwarden:/bin/bash
benutzer3:x:5003:5003::/home/users/benutzer3/:/bin/false
_rpc:x:120:65534::/run/rpcbind:/usr/sbin/nologin
statd:x:121:65534::/var/lib/nfs:/usr/sbin/nologin

Code: Alles auswählen

# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:105:
kvm:x:106:
render:x:107:
crontab:x:108:
netdev:x:109:
messagebus:x:110:
ssh:x:111:
systemd-coredump:x:999:
ntp:x:112:
docker:x:998:bitwarden
ssl-cert:x:113:
keyhelp:x:1000:
bind:x:114:
mysql:x:115:
keyhelp_file_manager:x:1001:ueli,erny-marketing,benjamin
keyhelp_nossh:x:1002:ueli,erny-marketing,benjamin
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
keyhelp_chroot:x:1005:
postfix:x:116:
postdrop:x:117:
policyd-spf:x:118:
dovecot:x:119:
dovenull:x:120:
vmail:x:5000:
opendkim:x:121:
clamav:x:122:amavis
postgrey:x:123:
debian-spamd:x:124:
amavis:x:125:clamav
benutzer1:x:5001:
benutzer2:x:5002:
bitwarden:x:1006:
benutzer3:x:5003:
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1683
Registriert: Mi 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von Alexander »

Bin ehrlich gesagt überfragt, was hier die Ursache ist.
Laut opendkim source code geht er eigentlich nur die /etc/passwd und /etc/groups durch und entscheidet anhand der gefundenen Daten, ob er die Meldung ("opendkim is in group 5001 which has multiple users") wirft oder nicht.

Die scheinen bei euch aber in Ordnung zu sein. Ich kann es auch nicht reproduzieren etc.

Eigentlich sollte in der aktuellen Version die Meldung auch aussagekräftiger sein, nämlich so "%s is in group %u which has multiple users (e.g., \"%s\")". Der e.g. Teil fehlt aber bei dir scheinbar. Bei euch läuft auch OpenDkim in Version 2.11.0 (opendkim -V)?

Am besten auch mal bei den OpenDkim-Maintainern nachfragen, woran es noch liegen könnte.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
nikko
Beiträge: 875
Registriert: Fr 15. Apr 2016, 16:11

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von nikko »

Sind das virtuelle Maschinen oder dedizierte? Falls virtuell, welche Virtualisierung?
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
marci
Beiträge: 6
Registriert: Mi 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Beitrag von marci »

Virtuell. KVM.
Antworten