O arquivo dhparam contém o primo que define o grupo para a troca de chaves DH. Não é um segredo, e será enviado em claro durante a troca de chaves, então não faz sentido tentar mantê-lo em segredo.
Quanto às permissões de arquivo: o nginx precisa lê-las e um invasor não deve poder editá-las. Pode depender da sua configuração, mas definir proprietário e grupo para root e permissões para 644 deve funcionar.