Warum die Warnung für 'a2dismod autoindex'?

8

Ich habe Ubuntu 16.04 x64 mit LAMP. (Apache2.4)

Ich halte das Durchsuchen von Verzeichnissen für sehr schlecht. Ich habe gerade diese wunderbare Lösung entdeckt:

a2dismod autoindex

Aber es gibt diese vage, aber sehr beängstigende Warnung:

root @ www: ~ # a2dismod autoindex WARNUNG: Das folgende wichtige Modul wird deaktiviert. Dies kann zu unerwartetem Verhalten führen und sollte NICHT durchgeführt werden, es sei denn, Sie wissen genau, was Sie tun! Autoindex

Um fortzufahren, geben Sie den Satz "Ja, tun Sie, was ich sage!" Ein. oder versuchen Sie es erneut, indem Sie '-f' übergeben:

Kann jemand erklären, wovon es spricht? Es klingt alles gut für mich.

apache-2.4 
Josh
quelle
Ich denke, es ist eine Support-Sache und sie tun es, um den Benutzern sagen zu können, dass "wir es nur tun sollen, wenn Sie wissen, was Sie tun", wenn sie sich beschweren, dass ihr Server danach "kaputt" ist, ohne zu wissen, was dies bedeutet. In Wirklichkeit wird nichts Schlimmes passieren, was Sie nicht erwarten sollten, wenn Sie tatsächlich wissen, was Sie tun.
Sven
1
Ich bin damit einverstanden, dass das Durchsuchen von Verzeichnissen wirklich schlecht ist und ich finde es wirklich seltsam, dass dies 2016 immer noch ein Standard in Apache (oder Ubuntu) ist. Ich denke, einige Leute können nicht loslassen ...
Alexis Wilke

Antworten:

4

Ich denke, wer auch immer das a2dismodDrehbuch geschrieben hat, fand das eine gute Idee.

Die Liste der Module, die von Apache2 als wesentlich angesehen werden (zumindest in Version 2.2):

my @essential_module_list = (qw/access_compat alias auth_basic authn_file/,
    qw/authz_host authz_user autoindex deflate dir env filter logio/,
    qw/mime negotiation setenvif unixd version watchdog/);

PCI - Compliance der Auffassung autoindex, alle auth*, und die versionModule als unsicherer (profitieren Hacker greatly¹, wirklich) und in den meisten Fällen fragen Sie sie zu entfernen.

Sie können das verwenden -f, um die Meldung zu vermeiden (insbesondere, wenn Sie die Installation per Skript ausführen):

a2dismod -f autoindex

Dann erhalten Sie keine Warnung.

¹ Verschleierung ist keine Sicherheit. Es macht es jedoch einigen (sehr wenigen?) Hackern schwerer, festzustellen, welche Software Sie ausführen. Beachten Sie, dass ein Hacker ein Skript schreibt, um die Version von Apache2 zu bestimmen, welches Modul ausgeführt wird. Teilen Sie das Skript mit all seinen Freunden. Jetzt ist die Verschleierung völlig nutzlos.

Alexis Wilke
quelle
2
a2dismod -f autoindexfunktionierte perfekt im Skript. Vielen Dank! Und ich habe Autoindex immer ohne erkennbare Nebenwirkungen deaktiviert.
Maris B.
0

Deaktivieren Sie das Autoindex-Modul vollständig. Dies würde sich auf alle auf dem Server gehosteten Sites auswirken, die sowohl gut als auch schlecht sein können.

Elvinooi
quelle
1
Irgendwelche Argumente, warum es gut oder schlecht wäre?
Alexis Wilke
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.