Como posso tornar visível meu arquivo de configuração do apache em uma página da web?

Se é seguro ou não, depende da sua configuração específica do Apache. Mas realmente você não deve expor detalhes de configuração de qualquer sistema ao público em geral, a menos que você tenha uma necessidade muito específica de fazê-lo (por exemplo, você está executando um site sobre a segurança do Apache e usando o próprio site). / p>

No entanto, se você realmente quiser fazer isso, basta criar um link simbólico em seu diretório web para o seu arquivo de configuração. Algo como:

ln -s /etc/apache2/apache2.conf /var/www/apache2.conf

Em seguida, os usuários podem inserir o link e vê-lo. É claro que o seu arquivo de configuração tem que ser legível por todos.

Note que normalmente há mais na configuração do Apache do que apenas aquele arquivo, você teria que expor todo o /etc/apache2conf ( ln -s /etc/apache2 /var/www/my-apache-configuration-directory ) se você quer a configuração completa visível.

Agora, se o que você quis dizer é que você deseja que o arquivo de configuração apareça como parte de uma página da Web, basicamente você precisará de um script CGI ou outro executável que construa a página da Web e inclua o conteúdo desse arquivo como parte desse processo. Ou você pode criar um script externo que construa essa página da Web e, em seguida, apenas descarta um arquivo HTML em algum lugar. Você pode ter este script executado via cron de vez em quando (uma vez por dia?) Para verificar se há atualizações em seu arquivo, ou se você estiver usando Linux você pode fazer algumas coisas elaboradas com inotify e chamar o script de reconstrução sempre que você modificar o arquivo. Ou você pode seguir o caminho mais fácil e usar as inclusões do lado do servidor.

Mas, na verdade, é uma má ideia. Não faça isso.

Não, não é seguro, o usuário www (ou qualquer usuário apache em execução como) não deve poder ler arquivos fora da árvore da web.

A melhor maneira seria copiar o arquivo para o subdiretório da raiz da web (talvez periodicamente com o cron) e protegê-lo usando .htaccess

Minha pergunta seria por que você precisaria expor isso externamente? O Apache deve ser um servidor 'set and forget'. Eu não quero presumir muito, mas meu primeiro palpite é que, se você quiser fazer isso, há algo errado em seu modelo Apache. Por que você precisaria vê-lo (mas não conseguir mudá-lo) à distância, ou com frequência suficiente para fazer valer a pena o trabalho necessário para obtê-lo. Os arquivos de configuração podem incluir outros arquivos de configuração e você precisa expô-los a todos para garantir que você possa ver tudo o que está envolvido na configuração.

E sim, isso pode ser perigoso. É um enorme vazamento de informações para os invasores sobre o que é sua configuração. Se você tem uma configuração insegura, você a exporia. Se você quiser fazer isso, por favor, bloqueie. Não assuma que, não ligando para este arquivo, as pessoas não o encontrarão. Se você fizer algo assim, crie um diretório para ele e bloqueie-o com senhas, restrições de IP ou ambos.

Eu tenho duas sugestões para você. Uma delas é expor o subconjunto de configurações que está disponível através do módulo mod_info . Há uma configuração já no padrão httpd.conf que mapeia o módulo /server-info para mod_info da URL, mas é comentado por padrão. Certifique-se de entender as configurações Permitir / Negar para ele e bloqueá-lo onde você pode ver os dados. Não expõe tanto quanto as configurações verdadeiras, mas deve ser bloqueado.

Além disso, veja o Webmin, é uma forma de configurar uma máquina UNIX, incluindo o Apache. Você seria capaz de configurar remotamente. Obviamente, isso leva muito mais para começar a trabalhar.