Листинг каталога Apache
Функция вывода списка каталогов Apache отображает содержимое каталога в табличном формате, что позволяет пользователям легко просматривать содержимое каталога. Однако включение списка каталогов также может представлять угрозу безопасности, поскольку открывает файлы и каталоги для несанкционированного доступа.
Отключение листинга каталогов
Чтобы отключить список каталогов в Apache, вы можете добавить следующую директиву в файл конфигурации Apache (обычно httpd.conf):
Параметры – Индексы
Эта директива предписывает Apache подавлять списки каталогов и вместо этого отображать стандартную страницу с ошибкой 403 Forbidden.
Включение листинга каталогов
Чтобы включить список каталогов в Apache, вы можете удалить Параметры – Индексы
директиву или замените ее следующей директивой:
Индексы опционов
Эта директива предписывает Apache отображать списки каталогов по умолчанию.
Пример конфигурации
Вот пример того, как отключить листинг каталогов для /документы
каталог:
Параметры – Индексы
Использование .htaccess
Вы также можете использовать .htaccess
file, чтобы отключить или включить список каталогов для определенного каталога. Например, чтобы отключить листинг каталогов для /документы
каталог, добавьте следующую строку в .htaccess
файл в /документы
каталог:
Параметры – Индексы
Перезапуск Apache
После внесения каких-либо изменений в конфигурацию Apache вам потребуется перезапустить службу Apache, чтобы изменения вступили в силу. Вы можете сделать это с помощью следующей команды:
sudo systemctl перезапустить httpd.service
Если вы используете Ubuntu, отредактируйте файл /etc/apache2/apache2.conf
(здесь у нас есть пример /вар/www
):
Параметры Индексы FollowSymLinks AllowOverride Нет Требуется, все разрешено
и измените его на;
Параметры Индексы FollowSymLinks AllowOverride All Требовать, чтобы все было разрешено
затем,
перезапустить службу sudo apache2
Вопросы безопасности
Отключение списка каталогов может помочь повысить безопасность вашего веб-сайта, затруднив просмотр содержимого ваших каталогов неавторизованными пользователями. Однако важно отметить, что отключение списка каталогов не устраняет полностью риск атак с обходом каталогов. Если злонамеренный пользователь будет определен, он все равно сможет получить доступ к конфиденциальным файлам или каталогам.
Для дополнительной безопасности вы можете рассмотреть возможность использования брандмауэра веб-приложений (WAF) для фильтрации вредоносных запросов и блокировки атак с обходом каталога.