Ich habe gerade eine minimale (hoffentlich sichere? - Kommentare willkommen) Website eingerichtet, die folgende Konfigurationsdatei verwendet:
<VirtualHost *:80>
ServerName foobar.com
ServerAlias www.foobar.com
ServerAdmin webmaster@foobar.com
DocumentRoot /path/to/websites/foobar/web
DirectoryIndex index.php
# CustomLog with format nickname
LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog "|/usr/bin/cronolog /var/log/apache2/%Y%m.foobar.access.log" common
LogLevel notice
ErrorLog "|/usr/bin/cronolog /var/log/apache2/%Y%m.foobar.errors.log"
<Directory />
AllowOverride None
Order Deny,Allow
Deny from all
</Directory>
<Directory /path/to/websites/>
Options -Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
</VirtualHost>
Ich kann unter www.foobar.com auf die Website zugreifen. Wenn ich foobar.com eingebe, erhalte ich die Fehlermeldung "Server nicht gefunden".
Meine zweite Frage betrifft die Sicherheitsauswirkungen der Richtlinie:
<Directory /path/to/websites/>
Options -Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
in der Konfiguration oben. Was genau macht es und ist es notwendig? Nach meinem (zugegebenermaßen eingeschränkten) Verständnis von Apache-Konfigurationsdateien bedeutet dies, dass jeder Zugriff auf die Daten haben kann / Pfad / zu / Websites / Mappe. Ist mein Verständnis richtig? - und wenn ja, wie ist das kein Sicherheitsrisiko?