Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- de:ejabberd_absichern [21.11.2022, 13:22] – angelegt Christoph Stoltz
+++ de:ejabberd_absichern [25.11.2022, 10:20] (aktuell) – [Voraussetzung] Christoph Stoltz
@@ Zeile 1: / Zeile 1: @@
-==== ejabberd absichern ====
+===== ejabberd absichern =====
-Dieses HowTo baut auf [[de:ejabberd_installation|ejabberd Installation]] und [[de:letsencrypt_einrichten|Lets Encrypt einrichten]] auf.
+==== Voraussetzung ====
-Um die Transportverschlüsselung zwischen Client und Server bzw. Server und Server zu verbessern kannst du den Schlüsselaustausch mit DH (Diffie-Hellman) erweitern. Außerdem haben sich alle Serveranbieter vor ein paar Jahren darauf geeinigt, nur noch verschlüsselte Verbindungen untereinander zuzulassen.
+  * Dieses Howto setzt [[de:ejabberd_installation|ejabberd Installation]] und [[de:letsencrypt_einrichten|Lets Encrypt einrichten]] voraus.
+==== Einleitung ====
+Um die Transportverschlüsselung zwischen Client und Server bzw. Server und Server zu verbessern kannst du den Schlüsselaustausch mit DH (Diffie-Hellman) erweitern. Außerdem haben sich alle Serverbetreiber vor ein paar Jahren darauf geeinigt, nur noch verschlüsselte Verbindungen untereinander zuzulassen.
+==== Einrichtung ====
+Als ejabberd arbeiten:
 <code>$ su - ejabberd</code>
@@ Zeile 9: / Zeile 17: @@
 dhparam.pem generieren. Das kann je nach Leistung deines Servers mehrere Minuten lang dauern:
-<code>$ openssl dhparam -out certs/dhparam.pem 4096</code>
+<code>$ openssl dhparam -out certs/dhparams.pem 4096</code>
+gibt die Schlüsselstärke an. Alles kleiner 2048 Bit gilt heutzutage als unsicher. Mit 4096 Bit bist du längerfristig auf der sicheren Seite.
 ejabberd Konfiguration aufrufen:
@@ Zeile 26: / Zeile 36: @@
   - "no_sslv2"
 s2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA"
-s2s_dhfile: "/home/ejabberd/certs/dhparams_4096.pem"
+s2s_dhfile: "/home/ejabberd/certs/dhparams.pem"
 c2s_protocol_options:
@@ Zeile 32: / Zeile 42: @@
   - "no_sslv2"
 c2s_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-SEED-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA"
-c2s_dhfile: "/home/ejabberd/certs/dhparams_4096.pem"</code>
+c2s_dhfile: "/home/ejabberd/certs/dhparams.pem"</code>
 Du kannst bei den _protocol_options auch zusätzlich TLS1.0 und TLS1.1 verbieten, riskierst damit aber zur Zeit noch, dass deine Nutzer:innen andere Server nicht mehr erreichen können. Die _ciphers kannst du auch nach belieben anpassen. Mit den Einstellungen habe ich bei jabjab.de allerdings die größte Kompatibilität zu anderen Server erreicht.
-Die Datei mit [STRG] + [s] speichern und den Editor mit [STRG] + [x] und [STRG] + [c] verlassen.
+Die Änderungen mit [STRG] + [x] und [STRG] + [s] speichern und den Editor mit [STRG] + [x] und [STRG] + [c] verlassen.
 Mache ejabberd die geänderte Konfiguration bekannt:
-<code>./opt/ejabberd-22.10/bin/ejabberdctl reload_config</code>
+<code>./opt/ejd/bin/ejabberdctl reload_config</code>