关闭Apache的目录浏览功能 -kongkong011-ChinaUnix博客

陈皓月

首页　| 　博文目录　| 　关于我

kongkong011

博客访问： 1996076
博文数量： 433
博客积分： 918
博客等级：准尉
技术积分： 3218
用户组：普通用户
注册时间： 2012-02-24 18:21

个人简介

你是不是暗恋我，那就给我发个消息呀，让我知道o(∩∩)o

文章分类

全部博文（433）

git（1）
规范（2）
docker（4）
插件（3）
加密（1）
虚拟化（3）
html（2）
python（5）
openssl（5）
shell（10）
sphinx（3）
yaf（6）
windows（1）
http（4）
nginx（10）
redis（3）
apache（5）
ubuntu（98）
PHP（66）
Js（2）
Mysql（50）
C语言（11）
硬件（3）
gdb（1）
fedora（4）
CentOS（85）
C语言mysql（2）
socket（3）
gtk+（16）
未分配的博文（24）

推荐博文

相关博文

关闭Apache的目录浏览功能

分类：网络与安全

2014-03-04 13:52:28

今天在调整网站架构时，突然发现可以直接浏览到子目录下的结构和文件。我觉得这是一个比较危险的情况，特别是Apache配置中是打开该选项的，有必要关闭它。

一、默认情况
默认情况下，Apache的配置文件/etc/httpd/conf/httpd.conf中有如下参数：

引用

Options Indexes FollowSymLinks
......

也就是说，在目录下没有默认首页面（如：index.html index.php等）时，可以让用户直接浏览web目录架构，这可能会导致一些重要的目录或配置文件被公开。

通常在Web应用上也会做一些安全考虑，以Bo-Blog为例，一些目录下会有类似的文件：

引用
# cat inc/index.php

die ('Access Denied');

这样，可以避免用户直接浏览该目录时，看到整个目录结构。但如果访问它下面的子目录就没什么作用了：

所以，这还是不太安全。

二、修改配置文件
安全起见，我建议还是把Indexes选项关闭比较好，方法有两种：
1、全局关闭
修改上面提到的配置文件/etc/httpd/conf/httpd.conf，把：

引用
Options Indexes FollowSymLinks

改为：

引用
Options -Indexes FollowSymLinks

重启httpd服务即可，这样可以把所有网站的Indexes选项都取消。

2、修改.htaccess文件
如需要针对特定的网站取消该功能，可以先打开.htaccess支持，修改/etc/httpd/conf/httpd.conf：

引用

......
AllowOverride None
......

修改为：

引用

......
AllowOverride All
......

然后，在各网站的主目录下写入一个.htaccess文件，内容有：

引用
# head .htaccess
Options -Indexes

RewriteEngine on
RewriteBase /
......

保存后马上生效。

这时，访问同样的路径，就会报下面的错误提示：

阅读(1818) | 评论(0) | 转发(0) |

上一篇：ubuntu下SVN服务器安装配置

下一篇：让Apache不显示版本号的方法

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6