はじめに
Apache Webサーバーをインストールすると、ディレクトリコンテンツの一覧表示がデフォルトで有効になります。これは、一部のシナリオでは望ましい機能かもしれませんが、他のシナリオでは潜在的なセキュリティホールです。設定した各Webサイト(仮想ホスト)でこの設定をオンまたはオフにするのは簡単です。
このガイドでは、ApacheおよびNginxWebサーバーでディレクトリブラウジングをオフにする方法を説明します。
Apacheのコンテンツリストを無効にする
デフォルトでは、コンテンツリストは有効になっています。これは、ファイルをディレクトリにアップロードすると、以下のスクリーンショットに示すように、そのファイルもリストされることを意味します
ディレクトリリストを無効にすると、攻撃者がサイトのディレクトリ構造を知り、機密ファイルを見つけるのが難しくなります。
したがって、サイトのconfsファイルに従って、Apacheの仮想ホスト構成ファイルまたはメイン構成ファイルを開きます。
vim /etc/httpd/conf/httpd.conf次に、(Options)ディレクティブが-インデックスを参照するようにします および(AllowOverride)からなし 以下に示すように
変更をファイルに保存します。次に、Apacheを再起動します。
systemctl restart httpd次に、以下に示すように、コンテンツのリストを含むパスに移動します。403forbiddenエラーが発生します。
Nginxのコンテンツリストを無効にする
Nginxではディレクトリリストがデフォルトで無効になっています 構成ファイル。
ただし、ディレクトリリストが有効になっている場合は、無効にすることができます。 Nginxパラメータautoindex 有効にするためにロケーションセグメントと一緒に使用されます または無効にする 以下に示すディレクトリリスト機能。
このセクションでは、決定パラメータは自動インデックスオンです。 。
上記の例では、 somedirに対してのみ構成されたディレクトリリスト ディレクトリ。ディレクトリが指定されていない場合(例:location / {autoindex on;})、ルールはすべてのフォルダに適用されます。
変更を有効にするには、以下のコマンドを実行することを忘れないでください。
systemctl restart nginxこれで、この例ではインデックス作成がオンになっているので、以下に示すように、ディレクトリのすべてのコンテンツにアクセスできます。
ディレクトリリストを無効にするには、自動インデックスの値をオフに切り替える必要があります。 。
結論
このガイドでは、 Apacheでディレクトリコンテンツの一覧表示を無効にする方法を説明します。 およびNginx Webサーバー。
ありがとう。