Apache2 e Raspbian: impedire il directory browsing

E’ piuttosto frequente che l’accoppiata Raspberry e Raspbian venga utilizzata come server contenente un sito web, spesso (ma non necessariamente) con l’installazione di Apache. Ho notato però che nella configurazione standard di Apache c’è una direttiva che permette di default di “esplorare” le directory del proprio sito tramite un browser esterno, il che dal punto di vista della sicurezza non mi sembra proprio il massimo. Noi possiamo piazzare nella DocumentRoot del nostro sito qualsiasi file, html o php che sia, da lanciare per avviare la navigazione, ma non è bello che chiunque possa accedere alle nostre directory facendo il browsing di tutto quello che c’è dentro.

La direttiva incriminata si trova nel file di configurazione /etc/apache2/apache2.conf

Più precisamente si tratta di quella clausola Indexes presente nel tag <Directory /var/www/>, che va assolutamente rimossa lasciando invariato il resto della riga. Quindi la riga diventerà Options FollowSymLinks.

Una volta salvato il file di configurazione apache2.conf va riavviato il server Apache con il comando:

in modo tale che al prossimo tentativo di “circolare” per le directory del sito si otterrà un messaggio:

Così, tanto per stare un po’ più tranquilli….. 🙂