SECURITY information for server.domain.de

Blackmoon · Post by **Blackmoon** » Sat 12. Oct 2024, 16:41

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja.

Server-Betriebssystem + Version
Ubuntu Server 24.01.1 LTS

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
24.2 (Build 3326)

Problembeschreibung / Fehlermeldungen
Folgende Information wurde (46 Mal) per E-Mail an die Webmaster Adresse verschickt:
server.domain.de : Oct 12 16:19:30 : keyhelp : a password is required ; PWD=/home/keyhelp/www/keyhelp ; USER=epvm ; COMMAND=file --mime-type --mime-encoding /home/users/epvm/www/. /home/users/epvm/www/..

Ausgelöst wurde das Verhalten durch den File Manager. Und zwar bin ich als Administrator in einen User Account "durchgesprungen". Was mir da schon aufgefallen ist, dass ich den Inhalt der Dateien in dem Verzeichnis über die KeyHelp UI nicht bearbeiten kann.

Erwartetes Ergebnis
---

Tatsächliches Ergebnis
---

Schritte zur Reproduktion
---

Zusätzliche Informationen
Ich habe vor zwei Wochen das Upgrade von Ubuntu Server 20.04 auf 24.04 durchgeführt. Dabei gab es auch schon ein kleinen Fehler im Upgrade Skript: viewtopic.php?p=51142#p51142

Könnte dieses Verhalten/Probleme auch auf das Update Skript zurückzuführen sein?

Grüße

Post by **Alexander** » Mon 14. Oct 2024, 09:37

Hallo,

was steht in den folgenden Dateien:

Code: Select all

/etc/sudoers
/etc/sudoers.d/keyhelp
/etc/sudoers.d/keyhelp_file_manager

Wie sehen die Dateiberechtigungen ("ls -la") in den Ordner aus, auf den du zugreifen willst und der die Meldung produziert.

Blackmoon · Post by **Blackmoon** » Mon 14. Oct 2024, 16:25

/etc/sudoers

Code: Select all

root@server:~# cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

# This fixes CVE-2005-4890 and possibly breaks some versions of kdesu
# (#1011624, https://bugs.kde.org/show_bug.cgi?id=452532)
Defaults        use_pty

# This preserves proxy settings from user environments of root
# equivalent users (group sudo)
#Defaults:%sudo env_keep += "http_proxy https_proxy ftp_proxy all_proxy no_proxy"

# This allows running arbitrary commands, but so does ALL, and it means
# different sudoers have their choice of editor respected.
#Defaults:%sudo env_keep += "EDITOR"

# Completely harmless preservation of a user preference.
#Defaults:%sudo env_keep += "GREP_COLOR"

# While you shouldn't normally run git as root, you need to with etckeeper
#Defaults:%sudo env_keep += "GIT_AUTHOR_* GIT_COMMITTER_*"

# Per-user preferences; root won't have sensible values for them.
#Defaults:%sudo env_keep += "EMAIL DEBEMAIL DEBFULLNAME"

# "sudo scp" or "sudo rsync" should be able to use your SSH agent.
#Defaults:%sudo env_keep += "SSH_AGENT_PID SSH_AUTH_SOCK"

# Ditto for GPG agent
#Defaults:%sudo env_keep += "GPG_AGENT_INFO"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "@include" directives:

@includedir /etc/sudoers.d

/etc/sudoers.d/keyhelp

Code: Select all

# Manage system services
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/service

# Mail queue management
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/postsuper
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/postcat

# Server reboot
keyhelp ALL = (ALL) NOPASSWD: /sbin/reboot

# Process management
keyhelp ALL = (ALL) NOPASSWD: /bin/kill

# Disk usage
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/du
keyhelp ALL = (ALL) NOPASSWD: /bin/ls

# Firewall
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables, /sbin/iptables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-restore, /sbin/iptables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-save, /sbin/iptables-save
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables, /sbin/ip6tables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-restore, /sbin/ip6tables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-save, /sbin/ip6tables-save

# Dovecot active sessions
keyhelp ALL = (root) NOPASSWD: /usr/bin/doveadm who

# API - Export account system passwords
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/getent

# Backup
keyhelp ALL = (ALL) NOPASSWD:SETENV: /usr/local/bin/restic
keyhelp ALL = (ALL) NOPASSWD: /bin/chown

# Fail2Ban management
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/fail2ban-client, /usr/local/bin/fail2ban-client

# Socket status - Allow full output when using the "--extended" parameter of "ss"
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/ss, /bin/ss

# Mail queue - Allow direct access to /var/spool/postfix/*
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/find

# Disk overview - Allow display of remote file systems
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/df, /bin/df

# Last line must be empty, do not trim!

/etc/sudoers.d/keyhelp_file_manager

Code: Select all

# File manager
keyhelp ALL = (%keyhelp_file_manager) NOPASSWD: /bin/ls, /bin/touch, /bin/mkdir, /bin/cp, /bin/mv, /bin/chmod, /bin/rm, /usr/bin/file, /bin/tar, /usr/bin/unzip, /usr/bin/zip, /usr/bin/ln
keyhelp ALL = (ALL) NOPASSWD: /bin/chown


# Last line must be empty, do not trim!

Wie sehen die Dateiberechtigungen ("ls -la") in den Ordner aus, auf den du zugreifen willst und der die Meldung produziert.

Code: Select all

epvm@server:/home/users/epvm/www$ ll
total 196
drwxr-x---  2 epvm www-data   4096 Oct 12 16:19 ./
drwxr-xr-x 11 root root       4096 Sep 15  2021 ../
-rw-rw-r--  1 epvm epvm       2194 Apr 17 14:55 xyz.txt
-rw-rw-r--  1 epvm epvm         90 Jan 29  2024 abc.txt
-rw-r--r--  1 epvm epvm     169539 Sep 16  2020 bulma.min.css
-rw-r--r--  1 epvm epvm       1971 Sep 16  2020 index.html
-rw-r--r--  1 epvm epvm         66 Oct 12 16:19 test1.txt
-rw-rw-r--  1 epvm epvm        224 Feb 17  2024 rd.txt

Post by **Alexander** » Mon 14. Oct 2024, 16:51

Danke, der Dateiinhalt ist soweit korrekt.

Führst du bitte einmal noch diesen Befehl aus und teilst mir das Ergebnis mit - Danke!

Code: Select all

which file

Blackmoon · Post by **Blackmoon** » Mon 14. Oct 2024, 17:26

Führst du bitte einmal noch diesen Befehl aus und teilst mir das Ergebnis mit - Danke!

Code: Select all

root@server:~# which file
root@server:~#
root@server:~#
root@server:~#

Post by **Alexander** » Tue 15. Oct 2024, 09:17

Der Befehl "file" ist normalerweise bei Ubuntu immer dabei (ich installiere den über KeyHelp nicht selbst).

Bei dir scheint das nicht der Fall zu sein. Installiere ihn also einfach nach:

Code: Select all

apt install file

Anschließend sollte dein Problem behoben sein.

Blackmoon · Post by **Blackmoon** » Tue 15. Oct 2024, 15:36

Nach der Installation des Pakets funktioniert wieder alles wie es soll. Es werden auch keine Warnungen mehr erzeugt.
Evtl. das Upgrade Skript dahingehend erweitern? Weil ich habe das Upgrade (22.04 -> 24.04) mit deinem Skript durchgeführt.

SECURITY information for server.domain.de [GELÖST]

SECURITY information for server.domain.de

Re: SECURITY information for server.domain.de

Re: SECURITY information for server.domain.de

Re: SECURITY information for server.domain.de

Re: SECURITY information for server.domain.de

Re: SECURITY information for server.domain.de [GELÖST]

Re: SECURITY information for server.domain.de