mixhostを契約して、そのまま使い始めるとセキュリティ上よろしくない。
ファイルの一覧(Index of)が丸見え状態のままで運用することになるため必ず403エラーを返す設定を忘れずに行っておきましょう。
なぜ最初から非表示設定になっていないの?と不思議に思わなくもないけれど、サーバーの新規インストール後のまっさらな状態で契約者に渡したいため、あえて何も触ってないのでしょうかね。
放置した場合の危険性
何かしら表示するコンテンツをフォルダ内に設置していればディレクトリの状態を覗き見されることはないのですが、indexファイルを配置していないディレクトリであれば、直接URLを叩かれると中身のファイル構造がひと目でバレてしまいます。
個人情報や大事なデータ流出の危険性
例えばある特定のユーザーにしかダウンロードできないファイルをフォルダにまとめて配置したとしましょうか。
購入者特典でも個人情報でも何でも構いません。
https://it-manabi.com/tokuten/akira-4a1LN561198l0zWb.ziphttps://it-manabi.com/tokuten/kayoko-RYyy8PwP6Oz7rE8U.ziphttps://it-manabi.com/tokuten/takeshi-Ew9eABYbYaLwCJbz.zip
上記のURL構造みたいにtokutenフォルダを作成し、そのフォルダ内に個人名+複雑なパスワードのzipファイルを複数アップロードしました。
通常なら複雑なファイル名のためURLを直接教えてもらった人しかファイルをダウンロード出来ないはずです。
しかしhttps://it-manabi.com/tokuten/にアクセスしてしまえば、このtokutenフォルダ内に配置されているファイル名のリストが誰でも閲覧できる状態になっているため、こっそりと全てのファイルを不正にダウンロード出来てしまうのです。
WordPressでも危険
WordPressでも放置しているとアップロードフォルダの中身など丸裸です。
https://it-manabi.com/wp-content/uploads/
上記のURLにアクセスすると下記のようにアップロードされたファイルへとブラウザ上から全て直接アクセス可能となりますので、メディア機能を使ってPDFやらzipなど多数のファイルを常日頃、アップロードして管理しいる人ほど危険性が分かるでしょう。
公式の解説
一応公式のヘルプサイトにも手順が記載してあります。
私の解説で分かりにくい場合は公式サイトも参考にして下さい。
403エラーにする手順を解説
The system updated the directory index settings for the “/home/******/public_html” directory. Directory indexing is disabled.
上記のようにディレクトリインデックスが無効になっています。という文字が表示されれば正常に変更が出来ております。
不安な方は最後にindexファイルを置いていないURLに直接アクセスをして403が返ってくることを確認してみましょう。問題なく表示がされれば設定が正常に反映されています。
サーバー上の内部では何がされている?
サーバー上のpublic_htmlを覗いてみると.htaccessが生成されています。
この中身を見てみるとOptions -Indexesの記述がされています。
Options -Indexesサーバーの設定を変えているのではなく.htaccessの記述で非表示にしている様なので.htaccessを更新する作業時に消さないように気をつけましょう。
例えばWordPressなどをインストールした際に知らない記述がある!と勘違いして.htaccessの記述を消さないように注意して下さい。
あとがき
この設定は放置しておくと悪さをされる可能性が非常に高いため、サーバーのセキュリティを上げるためにも必ず行って下さい。
上記の設定を行っておけば、今後追加する独自ドメインや、新規に作成したフォルダなど。
全てのディレクトリが403エラーを返す様になります。
手順は凄く簡単なので、mixhostのサーバーを契約したら忘れずに行っておきましょう。
これ本当に最初から初期設定でインデックスなしにしておけば良いのに。と思わずにはいられないんですけどね(笑)
コメント