Problème
En général, l’instance de création se trouve derrière le pare-feu d’une société qui offre une protection complète. Pour un accès externe OU pour améliorer la performance de création, l’instance peut être exposée au monde externe via un serveur web utilisant le module dispatcher [0]. Comment restreindre l’accès au niveau système à une seule adresse IP ou à une plage d'adresses IP pour une sécurité accrue ?
Solution
L’utilisation d’une règle ModSecurity [1] est l’une des options permettant de limiter l’utilisation de la connexion « administrateur » via certaines adresses IP. Les étapes sont les suivantes :
- Installation du module externe mod_security
- Chargez / Activez mod_security & unique_id_module in httpd.conf
- Configurez les règles de sécurité et pour plus de détails, veuillez consulter [2].
Une instance httpd.conf pour Apache (étapes 2 et 3 ci-dessus) permettant la connexion d'administrateur système uniquement depuis l'adresse IP 172.16.208.11 se trouve ci-dessous :
. . . LoadModule unique_id_module modules/mod_unique_id.so LoadModule security2_module modules/mod_security2.so . . . <IfModule mod_security2.c> SecRuleEngine On SecRequestBodyAccess On SecResponseBodyAccess Off </IfModule> . . . <LocationMatch /libs/cq/core/content/login.html/j_security_check> SecRule REMOTE_ADDR "!@ipMatch 172.16.208.11" "id:'23000',chain,deny,log" SecRule ARGS:j_username "admin" "t:lowercase" </LocationMatch>
La même démarche peut être appliquée à des serveurs Web configurés pour publication.
Référence
Accéder à votre compte