.env 파일 등 주요 설정파일 접근 제한하기

웹 작업을 하다보면 composer.json 이나 .env 파일 등의 중요 설정 파일을 웹에서 접근하지 못하도록 제한해야 할 필요성이 있다. 이를 위한 설정을 대표적인 웹서버인 nginx 와 Apache를 기준으로 설명한다.

먼저 nginx 에서의 설정이다. 아래 내용을 server 블럭 안에 추가해 주면된다. 설정 추가 후 설정을 리로드 해야 한다.

location ~* \.(env|json|config.js|md|gitignore|gitattributes|lock)$ {
    deny  all;
}

다음은 Apache 설정이다. 아래 내용을 httpd.conf 파일에 추가해주거나 .htaccess 파일을 생성한 후 추가해 주면된다.

<Files ~ "\.(env|json|config.js|md|gitignore|gitattributes|lock)$">
 order allow,deny
 deny from all
 satisfy all
</Files>

httpd.conf 파일에 추가한 경우 설정을 리로드 해야 한다. 다만 .htaccess 파일에 추가한 경우 웹서버 재시작은 필요없다. 경우에 따라서는 .htaccess 파일의 설정이 적용되지 않을 수 있다. 이 때는 AllowOverride 설정을 확인해봐야 한다.