Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
ホーム > Linux > Apache のディレクトリリスティングを無効にする
公開日:2014年1月17日

Apache のディレクトリリスティングを無効にする

ディレクトリリスティングとは

ディレクトリリスティングとは、URL でディレクトリを指定すると、ディレクトリに含まれるファイル一覧を表示する Web サーバー(Apache, IIS 等) の機能です。

具体的には、ディレクトリを URL で指定すると、下図のようにファイル一覧が表示されます。

pic01

ファイルをダウンロードする Web サイトでは問題ありませんが、一般的な Web サイトでディレクトリリスティングが有効になっていると、Web サイトの構造が攻撃者に分かってしまうため脆弱性として扱われます。

そのため、Web サイトでは、ディレクトリリスティングは無効にします。

Apache のディレクトリリスティング無効化

Apache のディレクトリリスティングを無効にするには、Web サイトの設定ファイル(httpd.conf)のエイリアスの設定から、Indexes というキーワードを削除します。デフォルトで複数のエイリアスに Indexes が存在するので確実に削除してください。

以下のファイルを編集します。

vi /etc/httpd/conf/httpd.conf

下記の Indexes があるエイリアスを見つけ、4行目の Indexes を削除して保存します。
Alias /icons/ "/var/www/icons/"

<Directory "/var/www/icons">
    Options  MultiViews Indexes FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

変更後は、以下のようになります。
    Options  MultiViews FollowSymLinks

Web サーバーを再起動します。
# service httpd restart

そうすると、下図のようにディレクトリの表示が拒否されるようになります。

pic02


スポンサーリンク




«
»

カテゴリー:Linux

Twitter でも、いろんな情報を発信しています。



関連記事

“Apache のディレクトリリスティングを無効にする” への1件のコメント

  1. いちえん より:
    2019年10月19日 1:48 午後

    Indexes で表示されるタイムスタンプと、ls で表示されるタイムスタンプが違うのですが、これを mtime に揃える方法ってないのでしょうか。

    返信

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA