中午開發小哥跑來找我,給我一個網站地址,我點開後顯示的是目錄格式,把網站的目錄結構全部顯示出來了。開發小哥說這個顯示結果不正確,不應該讓用戶看到我們的目錄結構,問我怎麼解決。
我第一反應是目錄權限的問題,查看了一下網站目錄的權限,發現權限是777,隨後我把權限改爲755,結果這個頁面的確不能訪問了,但是上級頁面也跟着爆掉了,要知道,這可是線上環境啊,我當時那個汗就下來了,趕緊恢復了777的權限,上級頁面又正常了,看來不是權限的問題(又長見識了)。
這個時候我意識到可能是配置文件的問題了,然後正好公司運維主管過來,我問了一下,他說apache配置文件裏有一項可以禁止顯示網站目錄的配置項,禁止掉就好了(然後用一臉鄙視的神情看了我一下)。我查了一下,原來在apache的主配置文件中對於網站根目錄的配置中有一項:
<Directory "/var/www/html">
#
# Possible values for the Options directive are "None", "All",
# or any combination of:
# Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
#
# Note that "MultiViews" must be named *explicitly* --- "Options All"
# doesn't give it to you.
#
# The Options directive is both complicated and important. Please see
# http://httpd.apache.org/docs/2.2/mod/core.html#options
# for more information.
#
Options Indexes FollowSymLinks (就是這一行配置)
#
# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
# Options FileInfo AuthConfig Limit
上述紅色字體即表示允許以目錄的形式列出網站目錄下的子文件以及子目錄,只要將配置中的Indexes刪掉就可以禁止列出目錄了。刪完一看果然成功了。
可能有的大神看到我發的博客會覺得幼稚低級,原諒我剛入行運維不久,經驗啥的太缺乏了。對於這些服務的瞭解也還比較淺,平時都主要關注服務怎麼搭建起來,怎麼正常工作,這些細節的配置關注的很少。看來運維不是一件容易乾的工作啊,經驗果然是重要中的重要,所以趕緊來寫下這篇博客,也爲自己積累一點東西吧。
另外:歡迎大家到我的博客來,歡迎評論,有什麼不對的地方歡迎大家指出,相互學習。