Добрый день. Вопрос по поводу безопасности
Как закрыть дырку в безопасности?
В settings.py есть строчка
urlpatterns += patterns('',
(r'^media/(?P<path>.*)$', 'django.views.static.serve', {'document_root': settings.MEDIA_ROOT, 'show_indexes': False}),
)
В urls.py есть строчка
MEDIA_URL = 'http://example.com.ua/media/'
При развертывании джанго на боевую машину в конфигурационном файле апача например
/etc/apache2/sites-available/example.com.ua имеем вот что:
<VirtualHost *>
DocumentRoot /var/www-sergnast/
ServerAdmin sergnast@gmаil.cоm
ServerName example.com.ua
WSGIScriptAlias / /home/sergnast/apache/django.wsgi
WSGIDaemonProcess sergnast processes=2 maximum-requests=5 threads=1
WSGIProcessGroup sergnast
Alias /media/ "/home/sergnast/example.com.ua/media/"
</VirtualHost>
Вот из за этого Alias за адресом example.com.ua/media/ можна увидеть все медиа файлы....
Как этого избежать
Спасибо зарание.