Directory listing unter Apache verhindern

Wie ich nicht ohne Stolz schon oft verkündet habe, sind wir gerade dabei, auf einen vServer umzuziehen. Bevor wir diesen aber für die Allgemeinheit über dieses Blog zugänglich machen, richten wir ihn natürlich erst ein.

Unter anderem gibts bei Apache viel zu entdecken (und zu zerstören), weswegen ich Experimente nur langsam ausprobiere. Eines der Experimente war heute: Das Directory listing zu verhindern. Bei vielen Servern sieht man nämlich oft deren Inhalt, wenn man einen beliebigen Pfad zu einem vorhandenen Ordner eingibt. Das kann insofern gefährlich werden, als dass es Suchmaschinen so einfacher fällt, den Server mit allen Daten zu scannen, als auch dass andere über Befehle wie wget alle Dateien herunterladen und damit unnötigen Traffic erzeugen (ja, sowas kommt vor). Ganz abgesehen davon, dass es Kriminellen geradezu in die Hände spielt.

In Foren kursiert oft die „Holzhammermethode“, dass man einfach in jeden Ordner eine leere index.html legt. Dass dies kein sinnvoller Weg ist, ist wohl offensichtlich ;-)

Um diese „Lücke“ in der Sicherheit tatsächlich zu schließen, kann man unter Apache dieses Listing einfach deaktivieren. Notwendig sind dazu folgende Befehle:

Danach ist es nicht mehr möglich, über http den Ordnerinhalt auszulesen, selbst wenn in einer .htaccess für den Ordner ein +Indexes angegeben ist.

Wiederbeleben kann man den autoindex mit diesen Befehlen:

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">