iconsディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合不要なディレクトリとなりますが、このディレクトリが有効な場合、そこに含まれるREADMEファイルなども表示されてしまうので無効化してしまいましょう。

Apache2.4セキュリティ「iconsディレクトリ対策」を行い、不要なコンテンツ表示を無効化する

icons ディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合、不要なディレクトリとなります。
このディレクトリが有効な場合、そこに含まれる README ファイルなども表示されてしまうので、例えば以下の URL にアクセスすると、README ファイルが表示されます。 
<a href="http://apache-practice.com/icons/README" rel="noopener noreferrer" target="_blank">http://apache-practice.com/icons/README</a>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/42/fNxEHsz69yTGXCEivGKt.png" width="400" height="319" alt="icons ディレクトリ README ファイル"></div>
本来不要であるものが表示されてしまうのは、脆弱性がないとしてもいつしかセキュリティホールになり得ないとも言えないですし（ちょっと過保護かもですが）まあそもそも不要なので無効化してしまいましょう。
CentOS7 の場合、無効化には autoindex.conf を編集します。
<dl class="description_setting">
<dt>ファイル設置箇所/etc/httpd/conf.d ファイル名 autoindex.conf</dt>
<dd>
<pre><code class="hljs language-shell"># autoindex.conf を vim で開く
vim /etc/httpd/conf.d/autoindex.conf
</code></pre>
</dd>
</dl>
ここの 21行目あたり
<pre><code class="hljs language-shell">Alias /icons/ "/usr/share/httpd/icons/"

&#x3C;Directory "/usr/share/httpd/icons">
Options Indexes MultiViews FollowSymlinks
AllowOverride None
Require all granted
&#x3C;/Directory>
</code></pre>
↓すべてコメントアウト
<pre><code class="hljs language-shell"># Alias /icons/ "/usr/share/httpd/icons/"
#
# &#x3C;Directory "/usr/share/httpd/icons">
# Options Indexes MultiViews FollowSymlinks
# AllowOverride None
# Require all granted
# &#x3C;/Directory>
</code></pre>
Apache を再起動する前に conf ファイルの書式チェックを行います。
<pre><code class="hljs language-shell"># conf ファイルの書式チェックを行う
apachectl configtest

# 実行結果
[demo@localhost ~]# apachectl configtest
Syntax OK // ←これが出れば OK
</code></pre>
Apache を再起動します。
<pre><code class="hljs language-shell"># Apache を再起動
systemctl restart httpd.service
</code></pre>
ブラウザからアクセスして画面を確認してみます。
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/42/Xqv4K2ftxb2pEw6nRx9H.png" width="400" height="159" alt="icons ディレクトリ README ファイル対策後"></div>
README ページが表示されなくなりました。

icons ディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合、不要なディレクトリとなります。
このディレクトリが有効な場合、そこに含まれる README ファイルなども表示されてしまうので、例えば以下の URL にアクセスすると、README ファイルが表示されます。 
<a href="http://apache-practice.com/icons/README" rel="noopener noreferrer" target="_blank">http://apache-practice.com/icons/README</a>
<div class="img_wrap"><img src="/images/posts/42/fNxEHsz69yTGXCEivGKt.png" width="400" height="319" alt="icons ディレクトリ README ファイル"></div>
本来不要であるものが表示されてしまうのは、脆弱性がないとしてもいつしかセキュリティホールになり得ないとも言えないですし（ちょっと過保護かもですが）まあそもそも不要なので無効化してしまいましょう。
CentOS7 の場合、無効化には autoindex.conf を編集します。
<dl class="description_setting">
<dt>ファイル設置箇所/etc/httpd/conf.d ファイル名 autoindex.conf</dt>
<dd>
<pre><code class="hljs language-shell"># autoindex.conf を vim で開く
vim /etc/httpd/conf.d/autoindex.conf
</code></pre>
</dd>
</dl>
ここの 21行目あたり
<pre><code class="hljs language-shell">Alias /icons/ "/usr/share/httpd/icons/"

&#x3C;Directory "/usr/share/httpd/icons">
Options Indexes MultiViews FollowSymlinks
AllowOverride None
Require all granted
&#x3C;/Directory>
</code></pre>
↓すべてコメントアウト
<pre><code class="hljs language-shell"># Alias /icons/ "/usr/share/httpd/icons/"
#
# &#x3C;Directory "/usr/share/httpd/icons">
# Options Indexes MultiViews FollowSymlinks
# AllowOverride None
# Require all granted
# &#x3C;/Directory>
</code></pre>
Apache を再起動する前に conf ファイルの書式チェックを行います。
<pre><code class="hljs language-shell"># conf ファイルの書式チェックを行う
apachectl configtest

# 実行結果
[demo@localhost ~]# apachectl configtest
Syntax OK // ←これが出れば OK
</code></pre>
Apache を再起動します。
<pre><code class="hljs language-shell"># Apache を再起動
systemctl restart httpd.service
</code></pre>
ブラウザからアクセスして画面を確認してみます。
<div class="img_wrap"><img src="/images/posts/42/Xqv4K2ftxb2pEw6nRx9H.png" width="400" height="159" alt="icons ディレクトリ README ファイル対策後"></div>
README ページが表示されなくなりました。

Author