Geplante Aufgaben (sec-cron)
Überwacht Cron-Jobs (Linux) und Scheduled Tasks (Windows) auf Änderungen, verdächtige Pfade und unsichere Berechtigungen.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
check_systemd_timers | bool | true | Systemd-Timer prüfen (nur Linux) |
suspicious_paths | list | ["/tmp", "/var/tmp", "/dev/shm"] | Verdächtige Verzeichnisse in Aufgaben |
ignore_users | list | ["root"] | Benutzer-Crontabs ignorieren |
YAML-Beispiel
sec_cron:
enabled: true
check_systemd_timers: true
suspicious_paths:
- "/tmp"
- "/var/tmp"
- "/dev/shm"
ignore_users:
- "root"
- "www-data"
Diagnose-Codes
Linux
| Code | Severity | Bedeutung | Empfehlung |
|---|
| 7100 | 0 | Keine Auffälligkeiten | — |
| 7101 | 1 | System-Crontab hinzugefügt/verändert | Änderung verifizieren |
| 7102 | 1 | Benutzer-Crontab verändert | Änderung verifizieren |
| 7103 | 1 | Systemd-Timer verändert | Änderung verifizieren |
| 7104 | 2 | Cron-Datei welt-beschreibbar | Berechtigungen einschränken |
| 7105 | 2 | Verdächtiger Pfad in Cron-Job | Aufgabe prüfen, mögliche Persistenz |
Windows
| Code | Severity | Bedeutung | Empfehlung |
|---|
| 8100 | 0 | Keine Auffälligkeiten | — |
| 8101 | 1 | Neue Scheduled Task erkannt | Aufgabe verifizieren |
| 8102 | 1 | Scheduled Task verändert | Änderung verifizieren |
| 8103 | 2 | Verdächtiger Pfad in Task | Aufgabe prüfen |
| 8104 | 1 | Task läuft unter unerwarteter Identität | Dienstkonto prüfen |
| 8105 | 1 | Task aus Baseline entfernt | Entfernung verifizieren |
- Linux: Prüft
/etc/cron.*, Benutzer-Crontabs und Systemd-Timer.
- Windows: Prüft Scheduled Tasks über
schtasks und PowerShell.