题 为什么警告'a2dismod autoindex'?


我有LAMP的Ubuntu 16.04 x64。 (Apache2.4)

我认为目录浏览非常糟糕。我刚发现这个很棒的解决方案:

a2dismod autoindex

但它给出了这个含糊但却非常可怕的警告:

root @ www:〜#a2dismod autoindex   警告:以下基本模块   将被禁用。这可能会导致意外行为   除非你确切知道自己在做什么,否则不要做!自动索引

要继续输入“是的,按我说的做”!或通过传递重试   '-F':

有人可以解释它在说什么吗?这对我来说听起来都很好。


6
2018-05-30 03:03




我想这是一个支持的事情,他们这样做是为了能够告诉用户“当我们知道你在做什么时我们只会这样做”当他们抱怨他们的服务器在执行此操作后被“破坏”而不知道它涉及到什么。实际上,如果你确实知道自己在做什么,那么前进,没有什么不好的事情会发生,你不应该期待。 - Sven♦
我同意目录浏览真的很糟糕,我觉得这在2016年仍然是Apache(或Ubuntu)的默认设置真的很奇怪。我猜有些人不能放手...... - Alexis Wilke


答案:


我想是谁写的 a2dismod 脚本认为这是一个好主意。

Apache2认为必不可少的模块列表(至少在2.2版中):

my @essential_module_list = (qw/access_compat alias auth_basic authn_file/,
    qw/authz_host authz_user autoindex deflate dir env filter logio/,
    qw/mime negotiation setenvif unixd version watchdog/);

PCI合规性考虑 autoindex, 一切 auth*,和 version 模块为 不安全 (真正使黑客受益¹),在大多数情况下,他们会要求你删除它们。

你可以使用 -f 避免消息(特别是如果您正在编写安装脚本):

a2dismod -f autoindex

那你就不会收到警告了。


¹混淆不是安全。 然而,它使一些(极少数?)黑客更难以确定您正在运行的软件。请注意,一个黑客编写脚本来确定Apache2的版本,它正在运行的模块,与他的所有朋友共享所述脚本,现在混淆是完全没用的...


2
2017-10-16 00:53



a2dismod -f autoindex 在剧本中完美地运作。谢谢!我一直禁用自动索引,没有任何明显的副作用。 - Maris B.


完全禁用autoindex模块。这会影响服务器上托管的所有站点,这可能既好又坏。


0
2017-08-27 09:35



关于它为什么好或坏的任何争论? - Alexis Wilke