Ubuntu
Ubuntu 16.04 上的 Apache2:FileETag 的預設配置
我對 Apache 2.4 的 ETag 配置有疑問。Apache 文件 ( https://httpd.apache.org/docs/2.4/en/mod/core.html#fileetag ) 指出 FileETag 的預設值為
INode MTime Size
. 但是,我無法通過我的設置確認此行為。我正在使用預設儲存庫中的 Apache 2.4 執行 Ubuntu 16.04 伺服器。由於 CVE-2003-1418,我的計劃是阻止 Apache 使用 inode 生成 ETag。
但是,我注意到 a
FileETag -INode
沒有更改生成的 ETag(例如:c83-54a250499ffc0)。所以我嘗試了FileETag +INode
一個新的塊(ac2981-c83-54a250499ffc0)。FileETag INode
僅返回 Inode (ac2981) 。我對官方的 httpd Docker 映像( https://hub.docker.com/_/httpd/ )進行了同樣的嘗試,並註意到了同樣的行為。
首先我假設 Ubuntu 修改了它的 Apache 包,但是 Docker 鏡像是從原始碼編譯的並且具有相同的行為。
那麼,這裡發生了什麼?Apache 文件中的預設值是否錯誤?我只是想確定我是否需要額外的配置,或者我是否可以信任預設值。
你完全正確 -出於與你引用的相同安全原因,inode已從預設值中刪除,儘管文件顯然從未更新過。