Plesk Hosting hardening

Die aktuelle Basiskonfiguration von Plesk beim Hosting läßt einige Wünsche offen.

Die Bewertung beim Qualys SSL Test war miserabel. Aber es läßt sich relativ einfach beheben.

NGINX dient als Reverse Proxy und das Hosting findet unter Apache statt.

Die ersten Schritte sind hier bestens beschrieben.

Nun werden noch die dhparam angepaßt.

openssl dhparam -out /etc/ssl/dh4096.pem 4096

1	openssl dhparam -out /etc/ssl/dh4096.pem 4096

Weiter geht es mit diesen Änderungen in den folgenden Dateien.

/usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
/usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php

 ssl_session_timeout         5m;

    ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers                 ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA$
    ssl_prefer_server_ciphers   on;
    ssl_dhparam /etc/ssl/dh4096.pem;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/ssl/bundle_certs.pem;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 15s;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA$

ssl_prefer_server_ciphers on;

ssl_dhparam /etc/ssl/dh4096.pem;

# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)

add_header Strict-Transport-Security max-age=15768000;

# OCSP Stapling ---

# fetch OCSP records from URL in ssl_certificate and cache them

ssl_stapling on;

ssl_stapling_verify on;

ssl_trusted_certificate /etc/ssl/bundle_certs.pem;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 15s;

Anschließend noch

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

1	/usr/local/psa/admin/bin/httpdmng --reconfigure-all

ausführen für die Übernahme der Änderungen.

Hier die etwas moderateren Cipher Suiten (von älteren Browsern noch unterstützt.

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;

Oder eben meine Auswahl (eigentlich von Mozilla)

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;

qualys_ssl_test

Weitere Empfehlung

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

1	EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

4 thoughts on “Plesk Hosting hardening”

Rene

August 23, 2015 at 8:16 pm

Hallo,

Danke für das Howto 🙂 Danachhabe ich lange gesucht. Ich habe Plesk mit Niginx und Apache 2.4.7 am laufen.

Leider funktioniert der Weg wie Du Ihn hier beschreibst nicht so wirklich bei mir. Könntest Du mal sagen wohin Du die Einträge in den Dateien

/usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
/usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php

genau hin setzt?

Bei mir sagt sslabs aus das ich immer noch nicht dei 4096 pem verwende. Allerdings habe ich es auch nur in die

/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php
kopiert.

Danke schon mal 🙂

Rene
- buyenne
  
  August 24, 2015 at 11:58 pm
  
  Hoi Rene,
  
  Im Prinzip wird nur ein vorhandener Block ergänzt. Es kommt nicht wirklich was komplett Neues hinzu.
  
  Dieser Teil müßte ja bereits in der nginxWebmailPartial.php drin stehen.
  
  ca): ?> ssl_client_certificate caFilePath ?>; ssl_session_timeout 5m;
  
  Und direkt dahinter den oben gezeigte Code.
  
  Zu dhparam. Es sollte in jeder der 3 Dateien drin sein.
  
  Und hast Du mit
  
  nginx -s reload
  
  den Dienst neu gesartet?
Rene

August 28, 2015 at 2:44 pm

Hallo Meistro 🙂

Perfekt! Danke Dir!! Funktioniert nun 1 A+ ^^

Rene
- buyenne
  
  August 28, 2015 at 4:24 pm
  
  Super. Freut mich.
  
  Wünsche Dir noch ein schönes Wochenende.

Share this:

4 thoughts on “Plesk Hosting hardening”

Leave a Reply to Rene Cancel reply