需要注意的是,我做程序员很多年了,但一直有一个真正的系统管理员来负责管理服务器,而我最新的工作则由我来做,所以这看起来很简单,但我会尽我所能把事情做好。(我知道我不喜欢它)
所以问题是。
我已经设置了 Apache 服务器并对其进行了保护,并且读到过一些地方说我应该从 Apache 中删除 WebDav(具体来说就是删除 Apache mod)。这是一个好主意吗?有什么我应该知道的重大缺点吗?
另外,我正在运行一个暴露在网络上的网站和一个只能从我的本地网络访问的管理网站,有没有什么方法可以完全禁止面向网络的网站上的文件上传,但仍然在管理网站上启用它。
服务器:Debian、Apache 2.2、PHP。我倾向于安全方面,只要它不会造成大问题就行。
编辑:每个站点都在虚拟主机上运行。
答案1
禁用 webDav 模块没有问题,因为它很少使用。这不会影响通过 HTTP Post 进行的常规文件上传,这些文件上传仍可正常工作。
如果你想要禁用某个虚拟主机的文件上传,那么你可以使用限制请求主体。将其设置为合理大小(例如 5k),网站上的表单仍将起作用,但大于该大小的文件将无法上传。