Loại bỏ hoặc từ chối truy cập vào các thư mục trong xampp

Cài đặt xampp trên localhost để sử dụng thì rất đơn giản nhưng nếu chúng ta muốn cấu hình cho xampp để sửa dụng trên sever đòi hỏi người cài đặt phải có kiến thức về bảo mật xampp. Ở bài trước mình có hướng dẫn các bạn cách cài đặt mật khẩu để tăng bảo mật cho xampp tốt hơn.

Ở bài này mình sẽ hướng dẫn các bạn cách xóa bỏ hoặc từ chối truy cập vào những thư mục không cần thiết trong xam. mặc định khi cài xampp hệ thống sẽ sinh ra cho chúng ta rất nhiều thư mục, nếu như bạn xóa nó đi thì hệ thống vẫn hoạt động bình thường. Chính vì vậy ngay từ đầu khi mới cài đặt xampp xong chúng ta lên tối giản những thư như vậy để tăng khả năng bảo mật được tốt hơn.

Để biết các thư mục mà Xampp cho phép truy cập bạn hãy mở tệp tin theo đường dẫn c:xamppapacheconfhttpd.conf và trong tệp tin của đường dẫn này c:xamppapacheconfextra .

Sau khi mở 2 tệp tin này ra chúng ta sẽ tìm kiếm 2 từ khóa ” Directory ” hoặc ” Alias ” ở bên dưới mình đã liệt kê được một số thư mục có thể truy cập.

  • c:xamppcgi-bin
  • c:xamppsecurityhtdocs
  • c:xamppwebdav
  • c:xampphtdocscontrib or c:xamppcontrib
  • c:xampphtdocsfonts
  • c:xampphtdocsforbidden
  • c:xampphtdocsrestricted
  • c:xampphtdocsxampp

Để có thể từ chối truy cập vào những thư mục mà mình liệt kê bên trên bạn cần chỉnh sửa tệp cấu hình cho phép truy cập vào thư mục đó. Có 3 tệp cấu hình cung cấp quyền truy cập vào các thư mục được liệt kê bên trên.

Cấu hình thư mục c: xampp webdav nằm trong c: xampp apache conf extra httpd-dav.conf.

Cấu hình thư mục c: xampp cgi-bin nằm trong c: xampp apache conf httpd.conf. Nếu bạn không sử dụng thư mục này, bạn nên hạn chế truy cập vào nó. Theo mặc định, có một kịch bản perl ở đây (printenv.pl) mà sẽ hiển thị các giá trị của các biến trên trang web. Các hacker có thể lợi dụng thông tin này để tấn cống website của bạn, chính vì vậy để cho an toàn hơn bạn hãy xóa bỏ printenv.pl/

Tất cả cấu hình thư mục khác nằm ở c: xampp webdav và c: xampp cgi-bin nằm trong c: xampp apache conf extra httpd-xampp.conf.

Ở bên trong mỗi tệp tin cấu hình mình liệt kê bên trên sẽ có một số thành phần giống nhau

Alias /web_folder_name c:\xampp\...
<Directory c:\xampp\...>
    ...
    ...
</Directory>

Đối với một số thư mục sẽ không có dòng Alias

Để hạn chế quyề truy cập vào các thư mục chúng ta sẽ có 2 cách làm như sau:

Cách 1: Xóa tất cả các dòng lệnh nằm giữa Alias (hoặc <Directory> nếu không có Alias ) và </ Directory> . Nếu bạn làm theo cách này thì có nghĩa là bạn sẽ không bao giờ sử dụng được những chức năng bên trong các thư mục vừa xóa nữa.

Lưu ý khi bạn xóa như vậy các chức năng  htdocs (như c: xampp htdocs xampp) vẫn hoạt động bình thường.

Cách 2: Không xóa các lệnh nằm giữa Alias mà chỉ cần từ chối truy cập vào những thư mục đó. Sau này nếu cần sử dụng lại bạn hoàn toàn có thể kích hoạt. Để từ chối truy cập bạn hãy đặt dòng lệnh bên dưới vào giữa <Directory …> and </Directory>

Order deny, allow
Deny from all

Đối với thư mục “restricted”, httpd-xampp.conf hãy sử dụng <Location> thay vì <Directory> . Bạn hãy xóa các dòng lệnh nằm trong <IfModule auth_remote_module> </ IfModule>

Lưu ý trong tệp tin cấu hình httpd-xampp.conf, có một dòng <Directory c: xampp contrib>, nhưng thư mục này không tồn tại. Thay vào đó, có  một dòng c: xampp htdocs contrib trong thư mục. Cách tốt nhất là bạn nên xóa bỏ những dòng này trong tệp tin cấu hình và xoá thư mục c: xampp htdocs contrib.

Bài viết khác cùng serie

XAMPP Security Script bảo mật xampp và phpMyAdmin bằng mật khẩu

Bảo Nguyễn

Đam mê dòng nhạc Bolero, thích con gái phong cách công sở và thích bàn luận quân sự. Đã từng học tại HaUI khóa K16.

Leave a Reply

Be the First to Comment!

Notify of
avatar

Create Account



Log In Your Account