Ограничение доступа к директории /usr/share/httpd/icons

По умолчанию, файлы в директории /usr/share/httpd/icons доступны для просмотра на веб-сайтах, работающих на Apache.

Откройте адрес на своем сайте /icons/ – что у вас отобразилось? Если появился каталог с иконками – у вас есть проблемы. Если вы получили 404, то все в порядке. (По умолчанию в RISH к сожалению покажется содержимое каталога icons)

Можно открыть директорию /icons/ на вашем сайте (даже если она не существует) и отобразится содержимое директории с иконками. Это называется FancyIndexing. В принципе, никакого особого вреда они не несут, но отображение того, что не должно отображаться на сайте, считается потенциальной уязвимостью.

Некоторые сканеры уязвимостей считают именно так, поскольку возможен риск раскрытия информации о системе, её версии и потенциальных уязвимостях посредством анализа содержимого этих файлов. Меньше знаешь – лучше спишь.

Сейчас, по умолчанию, содержимое директорий никогда не показывается и такой показ считается уязвимостью. Поэтому от показа этой директории следует избавиться.

Сделать это достаточно просто:

• Нужно удалить файл autoindex.conf в папке /etc/httpd/conf.d и перезапустить сервер Apache либо через меню RISH (F2 -> перезапустить сервер Apache) либо командой apachectl restart.

Все, можете проверять. Откройте свой сайт на адресе /icons/ – вы должны получить ошибку 404.

Прошу обратить внимание – вполне вероятно, что при обновлении сервера Apache, он может повторно записать этот файл. Поэтому следует внимательно относиться к обновлениям.