Você só define um controle de acesso único :
<Directory />
Require all denied
</Directory>
A seção sobre fusão de diretivas explica que Directory
seções são aplicadas primeiro, antes das diretivas em Location
seções, independentemente de como elas são ordenadas no seu httpd.conf.
O comportamento que você vê é explicado na AuthMerging
Diretiva:
When authorization is enabled, it is normally inherited by each subsequent configuration section, unless a different set of authorization directives is specified. This is the default action...
Você não define nenhum controle de acesso adicional na seção de configuração <Location /server-status>
que substituiria o único controle de acesso que você definiu, o Require all denied
e esse é o controle de acesso herdado pelo módulo mod-status no o espaço da Web / status do servidor.