Ukryj zawartość katalogów na serwerze (WWW) 15.02.2007 20:20
Jednym - ale nie jedynym - sposobem poprawy bezpieczeństwa serwera WWW przed zagrożeniem ze strony cyber-włamywaczy jest ukrywanie zawartości znajdujących się na serwerze katalogów.
Niektóre serwery są skonfigurowane tak, iż po nadejściu żądania URL kończącego się katalogiem, a nie plikiem, przyjmują określoną nazwę pliku - zwykle jest to index.html - i dołączają ją do reszty adresu. Gorzej, jeśli we wskazanym katalogu brak pliku index.html - w takim przypadku serwer wyświetli listę plików w danym katalogu.
O ile administratorowi serwera nie przeszkadza świadomość, że użytkownicy mają otwarty dostęp do plików, nie ma z tym wielkiego problemu. Jeśli jednak w katalogu znajdują się szczególnie cenne dane, można zastosować dwa sposoby ochrony:
- w każdym katalogu na serwerze umieszczać plik index.html (w ostateczności może to być pusty dokument),
- jeśli mamy do czynienia z serwerem NSCA HTTPD mechanizm wyświetlania zawartości katalogów jest domyślnie nieaktywny. Przykładowy plik access.conf zawiera natomiast linię o postaci:
Options Indexes FollowSymLinks
Usunięcie z linii słowa Indexes spowoduje włączenie wspomnianego mechanizmu.
LK
Uwaga! Konfiguracja sprzętowa komputera, posiadany system operacyjny wraz z uaktualnieniami, a także inne zainstalowane w systemie programy mogą mieć wpływ na skuteczność wskazówek prezentowanych w sekcji "Porada dnia". W przypadku niektórych konfiguracji sprzętowo-programowych zastosowanie się do danej porady może nie przynieść efektu - redakcja nie ponosi za to odpowiedzialności.
Aby otrzymywać informacje o nowych poradach bezpośrednio na adres skrzynki pocztowej, dokonaj subskrypcji bezpłatnej listy mailingowej "Poradnik WWW"
Redakcja Digit nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
To jest ważna sprawa. Znajomość systemu katalogów, nazwy i rozszerzeń plików, to jak zaproszenie do włamania. Radzę się tym zająć. Jeśli wynajmujesz serwer (wirtualny lub nie) poszukaj w panelu administracyjnym takiej opcji i zabroń pokazywania zawartości katalogu podczas błędu 404 (nie znalezienia strony), lub jeśli masz taką możliwość, zdefiniuj gdzie ma sie przenieść użytkownik podczas 404, może to być np. główna strona albo strona z info, że nie ma takiego adresu.
Korzystanie z serwisu Digit Online jest jednoznaczne z wyrażeniem zgody na następujące warunki obsługi. Serwis realizuje wytyczne ASME oraz uzupełnienia IDG dot. zasad publikacji w mediach elektronicznych.
