GPG Schlüssel admin@jabjab.de @admin@jabjab.de Spenden JabJab.de Blog Wiki
Impressum Datenschutzerklärung Nutzungsbedingungen Serverstatus social.jabjab.de
Made with on Sol 3

JabJab.de Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Du befindest dich hier: start » de » ejabberd_absichern
Zuletzt angesehen:
de:ejabberd_absichern

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung		Vorherige Überarbeitung
de:ejabberd_absichern [21.11.2022, 12:22] – angelegt Christoph Stoltzde:ejabberd_absichern [25.11.2022, 09:20] (aktuell) – [Voraussetzung] Christoph Stoltz
Zeile 1: Zeile 1:
-==== ejabberd absichern ====+===== ejabberd absichern =====
  
-Dieses HowTo baut auf [[de:ejabberd_installation|ejabberd Installation]] und [[de:letsencrypt_einrichten|Lets Encrypt einrichten]] auf.+==== Voraussetzung ====
  
-Um die Transportverschlüsselung zwischen Client und Server bzw. Server und Server zu verbessern kannst du den Schlüsselaustausch mit DH (Diffie-Hellman) erweitern. Außerdem haben sich alle Serveranbieter vor ein paar Jahren darauf geeinigt, nur noch verschlüsselte Verbindungen untereinander zuzulassen.+  * Dieses Howto setzt [[de:ejabberd_installation|ejabberd Installation]] und [[de:letsencrypt_einrichten|Lets Encrypt einrichten]] voraus. 
 + 
 +==== Einleitung ==== 
 + 
 +Um die Transportverschlüsselung zwischen Client und Server bzw. Server und Server zu verbessern kannst du den Schlüsselaustausch mit DH (Diffie-Hellman) erweitern. Außerdem haben sich alle Serverbetreiber vor ein paar Jahren darauf geeinigt, nur noch verschlüsselte Verbindungen untereinander zuzulassen. 
 + 
 +==== Einrichtung ==== 
 + 
 +Als ejabberd arbeiten:
  
 <code>$ su - ejabberd</code> <code>$ su - ejabberd</code>
Zeile 9: Zeile 17:
 dhparam.pem generieren. Das kann je nach Leistung deines Servers mehrere Minuten lang dauern: dhparam.pem generieren. Das kann je nach Leistung deines Servers mehrere Minuten lang dauern:
  
-<code>$ openssl dhparam -out certs/dhparam.pem 4096</code>+<code>$ openssl dhparam -out certs/dhparams.pem 4096</code> 
 + 
 +4096 gibt die Schlüsselstärke an. Alles kleiner 2048 Bit gilt heutzutage als unsicher. Mit 4096 Bit bist du längerfristig auf der sicheren Seite.
  
 ejabberd Konfiguration aufrufen: ejabberd Konfiguration aufrufen:
Zeile 26: Zeile 36:
   - "no_sslv2"   - "no_sslv2"
 s2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA" s2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA"
-s2s_dhfile: "/home/ejabberd/certs/dhparams_4096.pem"+s2s_dhfile: "/home/ejabberd/certs/dhparams.pem"
  
 c2s_protocol_options: c2s_protocol_options:
Zeile 32: Zeile 42:
   - "no_sslv2"   - "no_sslv2"
 c2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA" c2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA"
-c2s_dhfile: "/home/ejabberd/certs/dhparams_4096.pem"</code>+c2s_dhfile: "/home/ejabberd/certs/dhparams.pem"</code>
  
 Du kannst bei den _protocol_options auch zusätzlich TLS1.0 und TLS1.1 verbieten, riskierst damit aber zur Zeit noch, dass deine Nutzer:innen andere Server nicht mehr erreichen können. Die _ciphers kannst du auch nach belieben anpassen. Mit den Einstellungen habe ich bei jabjab.de allerdings die größte Kompatibilität zu anderen Server erreicht. Du kannst bei den _protocol_options auch zusätzlich TLS1.0 und TLS1.1 verbieten, riskierst damit aber zur Zeit noch, dass deine Nutzer:innen andere Server nicht mehr erreichen können. Die _ciphers kannst du auch nach belieben anpassen. Mit den Einstellungen habe ich bei jabjab.de allerdings die größte Kompatibilität zu anderen Server erreicht.
  
-Die Datei mit [STRG] + [s] speichern und den Editor mit [STRG] + [x] und [STRG] + [c] verlassen.+Die Änderungen mit [STRG] + [x] und [STRG] + [s] speichern und den Editor mit [STRG] + [x] und [STRG] + [c] verlassen. 
  
 Mache ejabberd die geänderte Konfiguration bekannt: Mache ejabberd die geänderte Konfiguration bekannt:
  
-<code>./opt/ejabberd-22.10/bin/ejabberdctl reload_config</code>+<code>./opt/ejd/bin/ejabberdctl reload_config</code>
de/ejabberd_absichern.1669033347.txt.gz · Zuletzt geändert: von Christoph Stoltz