key data is not secure: opendkim is in group 5001 which has multiple users

Locked
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Hallo zusammen,

Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Der Empfang funktionierte einwandfrei. Allerdings habe ich beim Senden folgenden Fehler im OpenDKIM Log erhalten:

Code: Select all

key data is not secure: opendkim is in group 5001 which has multiple users
Wenn ich das überprüfe, kommt folgendes dabei raus (ist aber für mich nicht auffällig):

Code: Select all

# cat /etc/passwd /etc/group | grep opendkim
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
opendkim:x:121:
Gemäss diesem Artikel habe ich die Berechtigungen überprüft, welche alle korrekt zu sein scheinen.

Code: Select all

# l /etc/opendkim* /etc/opendkim/keys/*
-rw-r--r-- 1 root     root     1910 Feb 22 11:50 /etc/opendkim.conf

/etc/opendkim:
insgesamt 16
drwx------ 5 opendkim opendkim 4096 Feb  4 15:27 keys
-rw-r--r-- 1 opendkim opendkim  292 Feb  4 15:27 key.table
-rw-r--r-- 1 opendkim opendkim  115 Feb  4 15:27 signing.table
-rw-r--r-- 1 opendkim opendkim   40 Nov  1 22:40 trusted

/etc/opendkim/keys/example1.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Feb  4 15:27 default.private
-rwx------ 1 opendkim opendkim  522 Feb  4 15:27 default.txt

/etc/opendkim/keys/example2.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov  5 14:53 default.private
-rwx------ 1 opendkim opendkim  518 Nov  5 14:53 default.txt

/etc/opendkim/keys/example3.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov  3 20:03 default.private
-rwx------ 1 opendkim opendkim  526 Nov  3 20:03 default.txt
In /etc/opendkim.conf habe ich folgende Zeile hinzugefügt und der Versand funktioniert nun:

Code: Select all

RequireSafeKeys         False
Allerdings ist das meines erachtens nur eine temporäre Lösung und ich würde gerne wissen, was genau das Problem ist.

Hatte jemand bereits das gleiche Problem, oder eine Idee woran das liegen könnte?


Zu mein System:
Betriebssystem: Debian 10.8 (64-bit)
Kernel: 4.19.0-13-amd64
Administrations-Panel: 20.3.2 (Build 2131) Änderungsprotokoll
Mail Transfer Agent: Postfix 3.4.14
Mail Delivery Agent: Dovecot 2.3.4.1
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by Alexander »

Hallo,

Was gibts an weiteren Informationen über die Gruppe 5001 zu berichten, wer steckt dort drin etc.?
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Hallo Alexander,

Die Gruppe 5001 ist die Gruppe meines ersten KeyHelp Benutzers. Die Gruppe heisst gleich wie der Benutzer selber:

Code: Select all

# cat /etc/group /etc/passwd | grep 5001
myuser:x:5001:
myuser:x:5001:5001::/home/users/myuser/:/bin/false
Ansonsten ist - glaube ich jedenfalls - nichts speziell an dem Benutzer.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by Alexander »

Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Kannst du einmal beschreiben wie diese Migration ablief?
Im normalen KeyHelp Betrieb sollte der Fehler sich nicht reproduzieren lassen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Folgende Schritte habe ich unternommen:
  1. Neuen Benutzer und Domain im KeyHelp als Admin erstellt (UID 5003 ; GID 5003)
  2. Als Benutzer eingeloggt und die E-Mail-Adressen erstellt
  3. DNS angepasst (wird extern gehostet)
  4. E-Mails mittels imapsync migriert
  5. Gewartet bis der DNS bei allen Root Servern übernommen wurde und getestet
Was ich noch vergessen habe zu erwähnen:
Der OpenDKIM Service lief zu vor der Migration gar nicht. Ich bin aber nicht sicher ob der Service von Anfang an nicht lief oder z.B. erst nach einem KeyHelp- oder System-Update nicht mehr...
Ich musste den Pfad zum PID-File des Services (/lib/systemd/system/opendkim.service) anpassen:

Code: Select all

Vorher:  PIDFile=/var/run/opendkim/opendkim.pid
Nachher: PIDFile=/run/opendkim/opendkim.pid
/var/run ist ein Symlink zu /var und systemd hat anscheinend Probleme damit.


Auf dem System lediglich KeyHelp und Docker. Mit dieser Konfiguration hatte ich aber nie Probleme.

Danke für Deine Hilfe!
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by Florian »

Hallo,

was gibt denn "id opendkim" aus?
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Hallo Florian

Wie folgt:

Code: Select all

# id opendkim 
uid=115(opendkim) gid=121(opendkim) Gruppen=121(opendkim)
marci
Posts: 19
Joined: Wed 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by marci »

selber Fehler hier...



id opendkim
uid=115(opendkim) gid=119(opendkim) groups=119(opendkim)


key data is not secure: / is writeable and owned by uid 5001 which is not the executing uid (115) or the superuser
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by Alexander »

Ihr könnt ja einmal den kompletten Inhalt von /etc/passwd und /etc/group zur Verfügung stellen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
marci
Posts: 19
Joined: Wed 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by marci »

Code: Select all

# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
_apt:x:104:65534::/nonexistent:/bin/false
messagebus:x:105:109::/var/run/dbus:/bin/false
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:112::/var/cache/bind:/bin/false
mysql:x:108:113:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/bin/false
ftp:x:110:65534::/srv/ftp:/bin/false
postfix:x:111:114::/var/spool/postfix:/bin/false
policyd-spf:x:112:116::/nonexistent:/bin/false
dovecot:x:113:117:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
dovenull:x:114:118:Dovecot login user,,,:/nonexistent:/bin/false
vmail:x:5000:5000::/var/mail:
opendkim:x:115:119::/var/run/opendkim:/bin/false
clamav:x:116:120::/var/lib/clamav:/bin/false
postgrey:x:117:121::/var/lib/postgrey:/bin/false
amavis:x:118:122:AMaViS system user,,,:/var/lib/amavis:/bin/sh
debian-spamd:x:119:123::/var/lib/spamassassin:/bin/sh
meinbenutzer:x:5001:5001::/home/users/meinbenutzer/:/bin/false
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin

Code: Select all

# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:106:
crontab:x:107:
netdev:x:108:
messagebus:x:109:
ssh:x:110:
ssl-cert:x:111:
keyhelp:x:1000:
bind:x:112:
mysql:x:113:
keyhelp_file_manager:x:1001:meinbenutzer
keyhelp_nossh:x:1002:meinbenutzer
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
postfix:x:114:
postdrop:x:115:
policyd-spf:x:116:
dovecot:x:117:
dovenull:x:118:
vmail:x:5000:
opendkim:x:119:
clamav:x:120:amavis
postgrey:x:121:
amavis:x:122:clamav
debian-spamd:x:123:
meinbenutzer:x:5001:
kvm:x:105:
render:x:124:
systemd-coredump:x:999:
mlocate:x:125:
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Code: Select all

# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:110::/nonexistent:/usr/sbin/nologin
sshd:x:105:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
ntp:x:106:112::/nonexistent:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:114::/var/cache/bind:/usr/sbin/nologin
mysql:x:108:115:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/usr/sbin/nologin
ftp:x:110:65534::/srv/ftp:/usr/sbin/nologin
postfix:x:111:116::/var/spool/postfix:/usr/sbin/nologin
policyd-spf:x:112:118::/nonexistent:/usr/sbin/nologin
dovecot:x:113:119:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
dovenull:x:114:120:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
vmail:x:5000:5000::/var/mail:/bin/sh
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
clamav:x:116:122::/var/lib/clamav:/bin/false
postgrey:x:117:123::/var/lib/postgrey:/usr/sbin/nologin
debian-spamd:x:118:124::/var/lib/spamassassin:/bin/sh
amavis:x:119:125:AMaViS system user,,,:/var/lib/amavis:/bin/sh
benutzer1:x:5001:5001::/home/users/benutzer1/:/bin/false
benutzer2:x:5002:5002::/home/users/benutzer2/:/bin/false
bitwarden:x:1001:1006:,,,:/home/bitwarden:/bin/bash
benutzer3:x:5003:5003::/home/users/benutzer3/:/bin/false
_rpc:x:120:65534::/run/rpcbind:/usr/sbin/nologin
statd:x:121:65534::/var/lib/nfs:/usr/sbin/nologin

Code: Select all

# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:105:
kvm:x:106:
render:x:107:
crontab:x:108:
netdev:x:109:
messagebus:x:110:
ssh:x:111:
systemd-coredump:x:999:
ntp:x:112:
docker:x:998:bitwarden
ssl-cert:x:113:
keyhelp:x:1000:
bind:x:114:
mysql:x:115:
keyhelp_file_manager:x:1001:ueli,erny-marketing,benjamin
keyhelp_nossh:x:1002:ueli,erny-marketing,benjamin
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
keyhelp_chroot:x:1005:
postfix:x:116:
postdrop:x:117:
policyd-spf:x:118:
dovecot:x:119:
dovenull:x:120:
vmail:x:5000:
opendkim:x:121:
clamav:x:122:amavis
postgrey:x:123:
debian-spamd:x:124:
amavis:x:125:clamav
benutzer1:x:5001:
benutzer2:x:5002:
bitwarden:x:1006:
benutzer3:x:5003:
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by Alexander »

Bin ehrlich gesagt überfragt, was hier die Ursache ist.
Laut opendkim source code geht er eigentlich nur die /etc/passwd und /etc/groups durch und entscheidet anhand der gefundenen Daten, ob er die Meldung ("opendkim is in group 5001 which has multiple users") wirft oder nicht.

Die scheinen bei euch aber in Ordnung zu sein. Ich kann es auch nicht reproduzieren etc.

Eigentlich sollte in der aktuellen Version die Meldung auch aussagekräftiger sein, nämlich so "%s is in group %u which has multiple users (e.g., \"%s\")". Der e.g. Teil fehlt aber bei dir scheinbar. Bei euch läuft auch OpenDkim in Version 2.11.0 (opendkim -V)?

Am besten auch mal bei den OpenDkim-Maintainern nachfragen, woran es noch liegen könnte.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by nikko »

Sind das virtuelle Maschinen oder dedizierte? Falls virtuell, welche Virtualisierung?
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
marci
Posts: 19
Joined: Wed 19. Feb 2020, 09:06

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by marci »

Virtuell. KVM.
suhype
Posts: 15
Joined: Mon 22. Feb 2021, 12:51

Re: key data is not secure: opendkim is in group 5001 which has multiple users

Post by suhype »

Bei mir läuft KeyHelp auf einer dedizierten Maschine.

@Alexander, ich werde das Thema weiter verfolgen und hier Bescheid geben, falls ich mehr herausgefunden habe.
Locked