Page 1 of 1
Cronjob keyhelp-firewall
Posted: Sat 11. Oct 2025, 21:08
by tab-kh
Ich habe unter Debian 13 im Journal regelmäßig die folgende Meldung:
Code: Select all
cron[703]: (*system*keyhelp-firewall) INSECURE MODE (group/other writable) (/etc/cron.d/keyhelp-firewall)
Tatsächlich ist die Datei in dem Verzeichnis die einzige, auf die auch die Gruppe (root) Schreibzugriff hat.
Code: Select all
ls -al /etc/cron.d/
total 40
drwxr-xr-x 2 root root 4096 Oct 10 16:54 .
drwxr-xr-x 98 root root 4096 Oct 11 14:03 ..
-rw-r--r-- 1 root root 188 Jul 30 21:39 e2scrub_all
-rw-r--r-- 1 root root 50 Oct 7 16:48 kernel
-rw-r--r-- 1 root root 256 Oct 10 16:28 keyhelp
-rw-rw-r-- 1 root root 243 Oct 10 16:28 keyhelp-firewall
-rw-r--r-- 1 root root 330 Oct 10 16:28 keyhelp-rspamd-learn
-rw-r--r-- 1 root root 506 Apr 11 2025 munin-node
-rw-r--r-- 1 root root 712 Dec 4 2024 php
-rw-r--r-- 1 root root 102 Jun 13 10:30 .placeholder
Muss das so sein oder ist das ein Versehen?
Re: Cronjob keyhelp-firewall
Posted: Sun 12. Oct 2025, 15:23
by tab-kh
Da die Rechte dieser Datei bei Debian 12 kein Schreibrecht für die Gruppe "root" beinhalten habe ich das Schreibrecht nun mal versuchsweise rausgenommen und schaue einfach, ob danach irgendwas nicht mehr funktioniert bzw Fehler erzeugt.
Re: Cronjob keyhelp-firewall
Posted: Sun 12. Oct 2025, 17:44
by Waldfee
Hallo, bei mir ist es bei chmod 644.
Re: Cronjob keyhelp-firewall
Posted: Sun 12. Oct 2025, 20:01
by tab-kh
Genau, auf 644 habe ich die Rechte jetzt auch gesetzt, zuvor waren sie, nach einer frischen Installation von Keyhelp auf einem System mit Debian 13 minimal, auf 664. User und Gruppe ist root:root. Das habe ich natürlich auch so belassen.
Ob das in der Praxis einen relevanten Unterschied macht wird wohl darauf ankommen, welche User außer root noch zur Gruppe root gehören oder sich da selbst hinzufügen können (sudo?) und ob das dann ggf irgendwie ausgenutzt werden kann um die Datei im Sinne des potenziellen Hackers zu verändern.
Re: Cronjob keyhelp-firewall [GELÖST]
Posted: Mon 13. Oct 2025, 16:14
by Alexander
Ich habe gerade gesehen, das ich zur Installation die Rechte dieser Datei nicht explizit auf 0644 setze, bei den anderen Dateien /etc/cron.d/keyhelp-* aber sehr wohl.
Bei mir erzeugt er per default diese Datei mit 0644, bei dir scheinbar nicht. Ich werde es mit kommenden KeyHelp-Update explizit auf 0644 setzen.
Danke fürs Bescheid-geben!
Re: Cronjob keyhelp-firewall
Posted: Mon 13. Oct 2025, 17:46
by tab-kh
Ich habe mir mal die UMask von root und einem Standarduser angeschaut. In dem hier verwendeten Debian 13 minimal von netcup steht diese auf 0002, bei den älteren Images 0022, was wohl auch der Standardwert sein sollte. Insofern werde ich mal schauen, wo sich das sonst noch so überall ausgewirkt hat. Das dürfte zumindest den mit "adduser" erzeugten Unix-User und die Dateien in seinem Homevereichnis betreffen.
Es ist für mich schwer vorstellbar, dass das bei Debian 13 absichtlich anders sein sollte als bei älteren Versionen, vielleicht eine "Besonderheit"
des Debian 13 minimal Image von netcup. Ich werde dem mal nachgehen ...
Re: Cronjob keyhelp-firewall
Posted: Mon 13. Oct 2025, 18:05
by tab-kh
tab-kh wrote: ↑Mon 13. Oct 2025, 17:46
Ich habe mir mal die UMask von root und einem Standarduser angeschaut. In dem hier verwendeten Debian 13 minimal von netcup steht diese auf 0002, bei den älteren Images 0022, was wohl auch der Standardwert sein sollte. Insofern werde ich mal schauen, wo sich das sonst noch so überall ausgewirkt hat. Das dürfte zumindest den mit "adduser" erzeugten Unix-User und die Dateien in seinem Homevereichnis betreffen.
Es ist für mich schwer vorstellbar, dass das bei Debian 13 absichtlich anders sein sollte als bei älteren Versionen, vielleicht eine "Besonderheit"
des Debian 13 minimal Image von netcup. Ich werde dem mal nachgehen ...
Und schon fündig geworden ...
https://wiki.debian.org/Debate/umask