RitoLabo

Apache2.4セキュリティ「iconsディレクトリ対策」を行い、不要なコンテンツ表示を無効化する

  • 公開:
  • カテゴリ: linux Apache
  • タグ: Linux,CentOS,Apache,Security,httpd,2.4,7.2,DefaultContent

iconsディレクトリは、デフォルトコンテンツで使う画像などが設置されているディレクトリです。デフォルトページを非表示にした場合、不要なディレクトリとなります。

このディレクトリが有効な場合、そこに含まれるREADMEファイルなども表示されてしまうので、例えば以下のURLにアクセスすると、READMEファイルが表示されます。
http://apache-practice.com/icons/README

iconsディレクトリREADMEファイル

本来不要であるものが表示されてしまうのは、脆弱性がないとしてもいつしかセキュリティホールになり得ないとも言えないですし(ちょっと過保護かもですが)まあそもそも不要なので無効化してしまいましょう。

CentOS7の場合、無効化にはautoindex.confを編集します。

ファイル設置箇所
/etc/httpd/conf.d
ファイル名
autoindex.conf
# autoindex.conf を vimで開く
vim /etc/httpd/conf.d/autoindex.conf

ここの21行目あたり

Alias /icons/ "/usr/share/httpd/icons/"

<Directory "/usr/share/httpd/icons">
Options Indexes MultiViews FollowSymlinks
AllowOverride None
Require all granted
</Directory>

↓すべてコメントアウト

# Alias /icons/ "/usr/share/httpd/icons/"
#
# <Directory "/usr/share/httpd/icons">
# Options Indexes MultiViews FollowSymlinks
# AllowOverride None
# Require all granted
# </Directory>

Apacheを再起動する前にconfファイルの書式チェックを行います。

# confファイルの書式チェックを行う
apachectl configtest

# 実行結果
[demo@localhost ~]# apachectl configtest
Syntax OK // ←これが出ればOK

Apacheを再起動します。

# Apacheを再起動
systemctl restart httpd.service

ブラウザからアクセスして画面を確認してみます。

iconsディレクトリREADMEファイル対策後

READMEページが表示されなくなりました。