Lista katalogów Apache
Funkcja wyświetlania katalogów Apache wyświetla zawartość katalogu w formie tabeli, co ułatwia użytkownikom przeglądanie zawartości katalogu. Jednak włączenie wyświetlania katalogów może również stwarzać zagrożenie bezpieczeństwa, ponieważ naraża pliki i katalogi na nieautoryzowany dostęp.
Wyłączanie listy katalogów
Aby wyłączyć wyświetlanie katalogów w Apache, możesz dodać następującą dyrektywę do pliku konfiguracyjnego Apache (zwykle httpd.conf):
Opcje -Indeksy
Ta dyrektywa instruuje Apache'a, aby ukrywał listy katalogów i zamiast tego wyświetlał standardową stronę błędu 403 Forbidden.
Włączanie listy katalogów
Aby włączyć wyświetlanie katalogów w Apache, możesz usunąć plik Opcje -Indeksy
dyrektywę lub zastąpić ją następującą dyrektywą:
Opcje Indeksy
Ta dyrektywa instruuje Apache'a, aby domyślnie wyświetlał listę katalogów.
Przykładowa konfiguracja
Oto przykład wyłączania wyświetlania katalogów dla pliku /dokumenty
informator:
Opcje -Indeksy
Korzystanie z .htaccess
Możesz także użyć A .htaccess
plik, aby wyłączyć lub włączyć wyświetlanie listy katalogów dla określonego katalogu. Na przykład, aby wyłączyć wyświetlanie katalogów dla /dokumenty
katalogu, dodaj następujący wiersz do a .htaccess
plik w /dokumenty
informator:
Opcje -Indeksy
Ponowne uruchamianie Apache'a
Po wprowadzeniu jakichkolwiek zmian w konfiguracji Apache konieczne będzie ponowne uruchomienie usługi Apache, aby zmiany zaczęły obowiązywać. Można to zrobić za pomocą następującego polecenia:
sudo systemctl uruchom ponownie httpd.service
Jeśli korzystasz z Ubuntu, edytuj plik /etc/apache2/apache2.conf
(tutaj mamy przykład /var/www
):
Opcje Indeksy FollowSymLinks ZezwólOverride Brak Wymagaj przyznania wszystkich
i zmień go na;
Opcje Indeksy FollowSymLinks ZezwólOverride All Wymagaj przyznania wszystkich
Następnie,
Uruchom ponownie usługę Sudo Apache2
Względy bezpieczeństwa
Wyłączenie wyświetlania katalogów może pomóc w zwiększeniu bezpieczeństwa witryny internetowej, utrudniając nieautoryzowanym użytkownikom przeglądanie zawartości katalogów. Należy jednak pamiętać, że wyłączenie wyświetlania katalogów nie eliminuje całkowicie ryzyka ataków polegających na przechodzeniu katalogów. Jeśli zostanie wykryty złośliwy użytkownik, może on nadal mieć dostęp do poufnych plików lub katalogów.
Aby zapewnić dodatkowe bezpieczeństwo, można rozważyć użycie zapory aplikacji sieci Web (WAF) do filtrowania złośliwych żądań i blokowania ataków polegających na przechodzeniu przez katalogi.