Cronjob – Wöchentlich neue DH PARAM Dateien generieren

Multimedia
9. April 2018
0 Antworten
3.575 Mal gelesen

DH-Parameter definieren wie der Diffie-Hellman-Schlüsselaustausch, auch DHM-Protokoll genannt, ausgeführt wird.
Mit einem Cronjob im unix-basierten Betriebssystem, hier Ubuntu, kann die Serversicherheit schnell und nachhaltig erhöht werden.
Gültig für nahezu alle Linux-Distributionen mit oder ohne Plesk.

Wöchentlich neue DH PARAM Dateien generieren

Hallo Nutzer!

Zunächst das folgende Verzeichnis erstellen:

Bash

~# mkdir -p /etc/dhparam

Erstelle die Datei /usr/local/sbin/gen_dhparam mit dem folgenden Inhalt:

Bash

~# touch /usr/local/sbin/gen_dhparam

Bash

#!/bin/bash

mkdir -p /etc/dhparam 2>/dev/null
FILE=`mktemp`

N=512
while [ $N -le 4096 ] ; do
  openssl dhparam -out $FILE $N && cat $FILE >/etc/dhparam/dhparam${N}.pem
  let N*=2
done

rm -f ${FILE}

Alles anzeigen

Setze die Datei auf "ausführbar":

Bash

~# chmod +x /usr/local/sbin/gen_dhparam

Führe das Skript aus:

Bash

~# /usr/local/sbin/gen_dhparam

Es wird eine längere Zeit dauern, aber es werden 4 Dateien in /etc/dhparam generiert:

Bash

~# ll /etc/dhparam
total 32
drwxr-xr-x   2 root root  4096 Oct  9 15:38 ./
drwxr-xr-x 127 root root 12288 Oct 10 11:05 ../
-rw-r--r--   1 root root   156 Oct 10 11:16 dhparam512.pem
-rw-r--r--   1 root root   245 Oct 10 11:16 dhparam1024.pem
-rw-r--r--   1 root root   424 Oct 10 11:17 dhparam2048.pem
-rw-r--r--   1 root root   769 Oct 10 11:58 dhparam4096.pem

Danach den symbolischen Link /etc/cron.weekly/gen_dhparam zum neuen Skript erstellen:

Bash

~# ln -s /usr/local/sbin/gen_dhparam /etc/cron.weekly/

Mit diesen Rechten und Eigentümern:

Bash

~# ll /etc/cron.weekly/gen_dhparam
lrwxrwxrwx 1 root root 27 Sep 14 17:31 /etc/cron.weekly/gen_dhparam -> /usr/local/sbin/gen_dhparam*

Letzter finaler und wichtiger Schritt ist das Erstellen der wöchentlich zeitgesteuerten Aufgabe in Plesk "Home > Tools & Einstellungen > Geplante Aufgaben" unter root.

Oder an anderer Stelle abhängig vom Betriebssystem und der Software-Umgebung:

Bash

FILE=`mktemp` ; openssl dhparam -out $FILE 512 && mv -f $FILE /etc/dhparam/dhparam512.pem && FILE=`mktemp` ; openssl dhparam -out $FILE 1024 && mv -f $FILE /etc/dhparam/dhparam1024.pem && FILE=`mktemp` ; openssl dhparam -out $FILE 2048 && mv -f $FILE /etc/dhparam/dhparam2048.pem && FILE=`mktemp` ; openssl dhparam -out $FILE 4096 && mv -f $FILE /etc/dhparam/dhparam4096.pem