NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Info”ですが、Webサイトのコンテンツを保持しているディレクトリ内の情報が見られる状態になっているという脆弱性がありました。
Nessusの”Web App Tests”というポリシータイプでスキャンした際、「Web Server Directory Enumaration」というプラグインでInfoレベルで脆弱性がレポートされました。
Webサイトのコンテンツを保持しているディレクトリ内の情報が見れる状態になっているようです。
設定方法
下記のようにApacheの設定ファイルを変更します。
1)autoindex_moduleのロードを無効
“autoindex_module”モジュールが、ディレクトリ内の情報を一覧表示できるように、自動でディレクトリインデックスを生成するようなので、このモジュールをロードしないようにします。
下記のようにコメントアウト
#LoadModule autoindex_module modules/mod_autoindex.so
そして、apacheを再起動すると、文法エラーが発生しました。
このモジュールをロードしないようにするだけでは文法エラーになってしまうようで、上記モジュールを使用する設定項目もコメントアウトしなくてはいけないようです。
2)autoindex_moduleを使用する設定項目をコメントアウト
下記設定項目が上記モジュールの設定項目のようで、一個一個コメントアウトしました。
IndexOptions
AddIcon
AddIconByEncoding
DefaultIcon
ReadmeName
HeaderName
IndexIgnore
上記設定項目もコメントアウトすると、文法エラーが発生せずにApacheを再起動できました。