在 Linux Xen VPS 上优化 Apache 和 MySQL

Question

user12096

Asked: 2010-04-01 08:10:57 +0800 CST2010-04-01 08:10:57 +0800 CST 2010-04-01 08:10:57 +0800 CST

如何避免 apache2 显示隐藏目录和/或文件结构

772

当有人获取存在的拒绝URL 时，他会得到：

Forbidden

You don't have permission to access /admin/admin.php on this server.
Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.9 with Suhosin-Patch Server

当有人访问一个不存在的 URL 时，他会得到：

Not Found

The requested URL /notexisting/notthere.php was not found on this server.
Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.9 with Suhosin-Patch Server

通过这种方式，某人可以找到有关某个区域的目录结构的信息，该区域实际上不向公众开放。这是真的？

如果我是偏执狂，我该怎么办？只是好奇。

3 个回答

Voted

Josh · Answer 1 · 2010-04-01T08:22:08+08:00

Josh

2010-04-01T08:22:08+08:002010-04-01T08:22:08+08:00

请注意，这并不一定告诉他们/admin/admin.php存在。如果/admin被禁止，/admin/notthere.php也将是一个403 Forbidden. 因此，它并没有明确泄露有关您的目录结构的任何信息。

如果您是偏执狂，您可以创建一个根受保护的子域。这样，对于未经授权的用户，任何 url 都会产生一条403 Forbidden消息

1

leonbloy · Answer 2 · 2010-04-01T09:12:14+08:00

leonbloy

2010-04-01T09:12:14+08:002010-04-01T09:12:14+08:00

您可以配置 Apache 对错误的反应方式，例如为每个错误设置一个 ErrorDocument： http ://httpd.apache.org/docs/2.0/mod/core.html#errordocument

1

sinping · Answer 3 · 2010-04-01T09:41:20+08:00

Best Answer

sinping

2010-04-01T09:41:20+08:002010-04-01T09:41:20+08:00

您可能可以使用 SetEnvIf 来检查某些内容，例如 Remote_Addr 是否是内部的，然后使用 mod_rewrite 根据环境变量给出 404。

0

如何避免 apache2 显示隐藏目录和/或文件结构

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

从 IP 地址解析主机名

如何按大小对 du -h 输出进行排序

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

如何避免 apache2 显示隐藏目录和/或文件结构

3 个回答

相关问题