特定端口的Apache配置设置（PCI合规性）

Question

我试图使我的服务器PCI兼容。我需要解决的最后一个问题之一是从Apache ETag头中删除INode。所以我在httpd.conf中定义了这一行：“FileETag MTime Size”只返回MTime和大小。

<Directory "/var/www/html"> 
    Options FollowSymLinks 

    AllowOverride None 

    Order allow,deny 
    Allow from all 

    FileETag MTime Size 
</Directory> 

此修复程序解决问题的标准端口80

现在，我也有主机控制面板（ISPConfig3）在端口8000上运行运行PCI符合性测试后，我得到这个错误：

Apache ETag header discloses inode numbers Severity: Potential Problem CVE: CVE-2003-1418 Impact: A remote attacker could determine inode numbers on the server. Resolution Use the http://httpd.apache.org/docs/2.2/mod/core.html#FileETag FileETag directive to remove the INode component from the calculation of the ETag. For example, place the following line in the Apache configuration file to calculate the ETag based only on the file's modification time and size: FileETag MTime Size Vulnerability Details: Service: 8000:TCP

我想我必须在httpd.conf中添加的东西也适用FileETag对所有应用程序运行在端口8000

请指教应该做些什么。

谢谢！ Kelvin

Answer 1

听起来像您的PCI符合性测试已过时。你读过CVE-2003-1418吗？

Apache HTTP Server 1.3.22 through 1.3.27 on OpenBSD allows remote attackers to obtain sensitive information via (1) the ETag header, which reveals the inode number, or (2) multipart MIME boundary, which reveals child proccess IDs (PID).

[我称作Ital]这不是Apache 2.2的一个问题，它采用了不同的Etag算法中。如果你还在运行Apache 1.3，那么你就会遇到更大的问题，因为它不再被支持。

您试图解决一个非问题。获得最新的PCI符合性测试套件。

Answer 2

添加到您的/etc/apache2/http.conf的开头：

#PCI Compliance fix for "Apache ETag header discloses inode numbers" 
Header unset ETag 
FileETag MTime Size 

这个工作对我的PCI合规性扫描，我不明白为什么它不会在所有端口上的工作， Apache侦听。