Directory listing unter Apache verhindern

Wie ich nicht ohne Stolz schon oft verkündet habe, sind wir gerade dabei, auf einen vServer umzuziehen. Bevor wir diesen aber für die Allgemeinheit über dieses Blog zugänglich machen, richten wir ihn natürlich erst ein.

Unter anderem gibts bei Apache viel zu entdecken (und zu zerstören), weswegen ich Experimente nur langsam ausprobiere. Eines der Experimente war heute: Das Directory listing zu verhindern. Bei vielen Servern sieht man nämlich oft deren Inhalt, wenn man einen beliebigen Pfad zu einem vorhandenen Ordner eingibt. Das kann insofern gefährlich werden, als dass es Suchmaschinen so einfacher fällt, den Server mit allen Daten zu scannen, als auch dass andere über Befehle wie wget alle Dateien herunterladen und damit unnötigen Traffic erzeugen (ja, sowas kommt vor). Ganz abgesehen davon, dass es Kriminellen geradezu in die Hände spielt.

In Foren kursiert oft die „Holzhammermethode“, dass man einfach in jeden Ordner eine leere index.html legt. Dass dies kein sinnvoller Weg ist, ist wohl offensichtlich 😉

Um diese „Lücke“ in der Sicherheit tatsächlich zu schließen, kann man unter Apache dieses Listing einfach deaktivieren. Notwendig sind dazu folgende Befehle:

sudo a2dismod autoindex
sudo /etc/init.d/apache2 restart

Danach ist es nicht mehr möglich, über http den Ordnerinhalt auszulesen, selbst wenn in einer .htaccess für den Ordner ein +Indexes angegeben ist.

Wiederbeleben kann man den autoindex mit diesen Befehlen:

sudo a2enmod autoindex
sudo /etc/init.d/apache2 restart

Schreibe einen Kommentar zu Mic Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert