Apache2: zabrana prikaza sadržaja direktorija

Svi znamo kako to izgleda kada pregledavamo web stranice, naš klijent prvo zatraži stranicu,  poslužitelj isporuči datoteku koja se obično naziva index.* (html, php, asp ...). U slučaju da stranica index.* ne postoji, web poslužitelj će nam prikazati sadržaj direktorija (koje možete preuzeti). Nekad je ovo ponašanja upravo ono što želite, ali ponekad i ne želite da se sadržaj direktorija prikazuje klijentima.

Najjednostavniji način zaštite bilo bi kreiranje index.* datoteka u svim direktorijima koji sadrže web stranice. Ali što ako ih ima previše, ili što ako korisnik sam kreira web stranice te zaboravi napraviti index.* datoteke. Ipak je bolje rješenje na razini web poslužitelja zabraniti ispis direktorija za sve direktorije koji nemaju index.* datoteku?

Pogledajmo kako to izgleda u praksi. U slučaju da datoteka index.html ne postoji prilikom učitavanja web stranice, dobije se sljedeće:

Djelatnik je upravo omogućio studentima da imaju uvid u ispit,  a da to nije namjeravao.

Apache2, za razliku od starog apacheja, gdje smo mogli upisivati direktivu "Options –Indexes" u datoteku httpd.conf, nudi mogućnost isključivanja i uključivanja prikaza direktorija putem modula mod_autoindex.

Tu smo već na svom terenu. Ako želimo isključiti prikaz direktorija pokrenut ćemo naredbu:

# a2dismod autoindex

i obratno, ako želimo uključiti prikaz direktorija pokrećemo naredbu:

# a2enmod autoindex

Nakon isključivanja prikaza sadražaja direktorija slika je potpuno drugačija, a i sam poslužitelj je sad malo bolje zaštićen.

Not Found
The requested URL /~perop/test/ was not found on this server.

 
Apache/2.2.16 (Debian) Server at www.server.com Port 80

 Zdravko Rašic