Назад | Перейти на главную страницу

Почему появляется предупреждение об автоиндексе a2dismod?

У меня Ubuntu 16.04 x64 с LAMP. (Apache2.4)

Я считаю просмотр каталогов очень плохим. Я только что обнаружил это замечательное решение:

a2dismod autoindex

Но он дает это расплывчатое, но очень пугающее предупреждение:

root @ www: ~ # a2dismod autoindex ВНИМАНИЕ: следующий важный модуль будет отключен. Это может привести к неожиданному поведению, и этого НЕ следует делать, если вы точно не знаете, что делаете! автоиндекс

Чтобы продолжить, введите фразу «Да, делайте, как я говорю!» или повторите попытку, передав '-f':

Может кто-нибудь объяснить, о чем идет речь? Для меня это звучит хорошо.

Я думаю, что тот, кто написал a2dismod сценарий подумал, что это хорошая идея.

Список модулей, которые Apache2 считает необходимыми (по крайней мере, в версии 2.2):

my @essential_module_list = (qw/access_compat alias auth_basic authn_file/,
    qw/authz_host authz_user autoindex deflate dir env filter logio/,
    qw/mime negotiation setenvif unixd version watchdog/);

Соответствие PCI рассматривает autoindex, все auth*, а version модули как небезопасный (на самом деле, это очень полезно для хакеров), и в большинстве случаев они просят вас удалить их.

Вы можете использовать -f чтобы избежать сообщения (особенно, если вы пишете сценарий установки):

a2dismod -f autoindex

Тогда вы не получите предупреждения.


¹ Обфускация - это не безопасность. Однако некоторым (очень немногим?) Хакерам становится труднее определить, какое программное обеспечение вы используете. Обратите внимание, что один хакер пишет сценарий, чтобы определить версию Apache2, какой модуль он запускает, поделиться этим сценарием со всеми своими друзьями, теперь обфускация совершенно бесполезна ...

Полностью отключите модуль автоиндекса. Это повлияет на все сайты, размещенные на сервере, что может быть как хорошим, так и плохим.