(http://antbsd.twbbs.org/~ant/wordpress/?p=60, February 8th, 2006)
最近發現 apache22 多了 no-accf.conf 這個設定檔。官方的 commit 紀錄在此。
早期,FreeBSD 對於 apache 的安全性上多支援了兩個功能:ACCEPT_FILTER_DATA、ACCEPT_FILTER_HTTP。這將會使 FreeBSD 會在 apache 前先處理網路封包,才將封包導回 apache,增加網路上的安全性。
若要直接 compile in kernel,則在 kernel config 中加入:
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
或是直接將此兩個 kernel modules (accf_http.ko和accf_data.ko) 手動加入:
# vi /boot/loader.conf
accf_http_load=”YES”
accf_data_load="YES"
這使得此功能的開關完全依賴於 kernel 的設定。
而現在 FreeBSD ports system 在 apache2.2 之後,對於此功能的設定,下放到 application level。
這也就是為何會增加 no-accf.conf 的檔案。而設定的選項則在 /etc/rc.conf 多了 apache22_http_accept_enable 選項。
日本的 iTakahiro 也對此作了一些說明。
Posts
No comments:
Post a Comment