|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Apache Web安全分析与增强 > Apache Web安全增强 >
|
|
相关知识点:8个
|
|
|
|
|
对于可以访问的Web目录,要使用相对安全的途径进行访问,不要让用户查看到任何目录索引列表,具体要求如下:
|
|
|
|
(1)设定禁止使用目录索引文件。Apache服务器在接收到用户对一个目录的访问请求时,会查找DirectoryIndex指令指定的目录索引文件。默认情况下该文件是index.html。如果该文件不存在,那么Apache会创建动态列表为用户显示该目录的内容。通常这样的设置会暴露Web站点结构,因此需要修改配置文件禁止显示动态目录索引。按如下方式修改配置文件httpd.conf:
|
|
|
|
|
|
Options指令通知Apache禁止使用目录索引。FollowSymLinks表示不允许使用符号链接。(2)禁止默认访问。首先禁止默认访问,只对指定目录开启访问权限,如果允许访问/var/www/html目录,使用如下设定:
|
|
|
|
|
|
(3)禁止用户重载。禁止用户对目录配置文件(.htaccess)进行重载(修改),使用如下设定:
|
|
|
|
|
