<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
    <title></title>
  </head>
  <body text="#000000" bgcolor="#ffffff">
    That's strange.  I've always been able to disable successfully Trace
    and Track through adding the following line to the config file:<br>
    <br>
    TraceEnable off<br>
    <br>
    I'd think I'd be inclined to argue for that being set by default,
    but it depends on whether PCI-DSS compliance is valued over RFC
    compliance as disabling it makes the Apache httpd setup non-RFC
    compliant (HTTP1.1 specification, section 9.8:
    <a class="moz-txt-link-freetext" href="http://www.ietf.org/rfc/rfc2616.txt">http://www.ietf.org/rfc/rfc2616.txt</a>)<br>
    <br>
    Paul<br>
    <br>
    On 8/8/2010 3:34 PM, Jim Tarvid wrote:
    <blockquote
      cite="mid:AANLkTimLLROFOAB0JkJ59-wZ7pLkDdL73XxYPqORLAkm@mail.gmail.com"
      type="cite">The point is passing Credit Card compliance tests.
      OOB, Ubuntu doesn't do so well. Spent the last two weeks getting
      through the process. I'll write it up in some detail but the key
      points were:<br>
      <ul>
        <li>ciphers</li>
        <li>protocols</li>
        <li>ip separation</li>
        <li>NameVirtualHosts</li>
        <li>no default directory paths</li>
        <li>modsecurity</li>
        <li>TRACE - took rewrite rules to  get rid of it</li>
        <li>server isolation (smtp, pop, imap, dns, ntp)</li>
        <li>utility isolation (phpmyadmin, phpinfo, cacti, webmin)</li>
        <li>secure ftp</li>
      </ul>
      <div>Now I would like a script to monitor sites and home pages on
        a daily basis to I can catch PHP issues.</div>
      <br>
      On Thu, Aug 5, 2010 at 10:02 AM, Etienne Goyer <<a
        moz-do-not-send="true" href="mailto:etienne.goyer@canonical.com">etienne.goyer@canonical.com</a>>
      wrote:<br>
      > On 10-08-04 06:05 PM, Kees Cook wrote:<br>
      >> Hi Jim,<br>
      >><br>
      >> On Wed, Aug 04, 2010 at 09:44:25AM -0400, Jim Tarvid
      wrote:<br>
      >>> Why not kill the weak ciphers too?<br>
      >><br>
      >> Sure! Can you send a patch for this?<br>
      ><br>
      > I do not really see the point.  Since the client and the
      server will<br>
      > negotiate the strongest cipher they both support, what
      exactly would we<br>
      > gain by removing cipher considered weak?<br>
      ><br>
      ><br>
      > --<br>
      > Etienne Goyer<br>
      > Technical Account Manager - Canonical Ltd<br>
      > Ubuntu Certified Instructor   -    LPIC-3<br>
      ><br>
      >  ~= Ubuntu: Linux for Human Beings =~<br>
      ><br>
      > --<br>
      > ubuntu-devel mailing list<br>
      > <a moz-do-not-send="true"
        href="mailto:ubuntu-devel@lists.ubuntu.com">ubuntu-devel@lists.ubuntu.com</a><br>
      > Modify settings or unsubscribe at: <a moz-do-not-send="true"
        href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel">https://lists.ubuntu.com/mailman/listinfo/ubuntu-devel</a><br>
      ><br>
      <br>
      <br>
      <br>
      -- <br>
      Rev. Jim Tarvid, PCA<br>
      Galax, Virginia<br>
      <a moz-do-not-send="true" href="http://ls.net">http://ls.net</a><br>
      <a moz-do-not-send="true" href="http://drupal.ls.net">http://drupal.ls.net</a><br>
      <br>
      <br>
      <br>
    </blockquote>
    <br>
  </body>
</html>