Restricción del inicio de sesión del administrador del sistema a direcciones IP específicas

Problema

Por lo general, la instancia de autoría se encuentra detrás del cortafuegos de una empresa que proporciona protección completa. Para el acceso externo o para mejorar el rendimiento de autoría, la instancia puede ser expuesta a través del servidor web usando el módulo de Dispatcher [0] al mundo externo.  ¿Cómo restringir el acceso a nivel de sistema a una sola IP o a un rango de direcciones IP para aumentar la seguridad?

Solución

El uso de una regla ModSecurity [1] es una de las opciones para limitar el uso del inicio de sesión del admin a través de ciertas IP. Los pasos son

  1. Instalación del complemento mod_security
  2. Cargar/Habilitar los módulos mod_security y unique_id_module en httpd.conf
  3. Configure una regla de seguridad y para más detalles consulte [2]. 

A continuación, se muestra un ejemplo de httpd.conf para Apache (pasos 2 y 3 anteriores) para permitir el inicio de sesión de administrador del sistema solo desde la IP 172.16.208.11

.
.
.

LoadModule unique_id_module modules/mod_unique_id.so
LoadModule security2_module modules/mod_security2.so

.
.
.

<IfModule mod_security2.c>
 SecRuleEngine On
 SecRequestBodyAccess On
 SecResponseBodyAccess Off
</IfModule>

.
.
.

<LocationMatch /libs/cq/core/content/login.html/j_security_check>
 SecRule REMOTE_ADDR "!@ipMatch 172.16.208.11" "id:'23000',chain,deny,log"
 SecRule ARGS:j_username "admin" "t:lowercase"
</LocationMatch>
Nota:

Lo mismo se puede aplicar al servidor web configurado para la instancia de publicación.

Referencia