[orca-users:13478] Re: セキュリティ設定に関して

[Hasegawa Tsukasa <hasegawa@xxxxxxx>]

 荒賀様
いつもお世話になります。スカイエスエイッチ長谷川です。

セキュリティーの基本的な話
１）ORCAのインストールドキュメントの通りインストールしていますか？
　特にpg_hba.confの設定。外部から繋ぎ放題になっていないか。
　root、orcaのユーザがパスワード認証できるようにしていないか。
　パスワード無しでどんなコマンドでも実行できるユーザを作っていないか。
２）ORCAレセコンでメール、インターネットをやっていませんよね？
３）ルーターは入れていますよね？
４）無線LANを入れた場合WPA、WPA2の暗号化を行ってますよね？
５）8000番ポートをインターネットから繋げるようにしていないですよね？

以上を結構見かけます。私も分かってやっているケースもあります。

セキュリティー上一番良いのはインターネットからの切断と、ユーザごと
（職員様ごと）にパスワードを変えることですが、不便になることも
たくさんあります。

＞/etc/inetd.conf
現在のインストールドキュメント通りのインストールでは、このファイルは
無いような気もするのですが？

＞ネットワーク関連ポート（ftm(ftpです),telnet,smpt,DNS, www-http, 
＞pop2, pop3, sunrpc）
インストールドキュメント通りであれば、これらのサーバプロセスと
なるようなプログラムはインストールされていないので、特に何もする
必要はありません。
ポートを限定することは好ましいことなので、このリンク先の内容で理解
できる場合、ご利用ください。（Pingも通らなくなります）
http://www.sky.sh/orca/iptables.htm

＞またプライベートCA構築ツールの利用についての記述があります。
院内ネットワークを盗聴されてしまう可能性のある場合は、利用する
意味はあります。

セキュリティーに関しては、特に気になるようでしたらインターネット
関連を含んだセキュリティーに詳しい会社に相談されるのが良いかと思います。
コスト上の問題もあり中堅以上の病院様以外はあまりやっていないと思います。

セキュリティーに関して誰もが納得できる話をするためには、膨大な内容となり
ORCAのホームページだけに記載するのは無理だと思います。
またセキュリティーは性質上、核戦争に備えてシェルターに住んだ方が
良いと同様のロジックの話にもなり、難しいところです。

> スカイエスエイッチ長谷川様、患者番号について貴重なデータありがとうございまし
> た。自前で構築しているものにはORCAの設定マニュアルでは細かいところ（具体的な
> ところ）が不明で迷うところです。
> 
> ところで停止すべきポートを/etc/inetd.confで確認したところ、Dischard,
> daytime, timeのみが閉鎖れていることが分かりました。マニュアルには推奨する
> ネットワーク関連ポート（ftm,telnet,smpt,DNS, www-http, pop2, pop3, sunrpc）
> の閉鎖方法の記述がありません。ORCA-support centerに問い合わせたところは、コ
> マンドレベルでは公表していないとのことでした。ルータでも閉鎖可能との連絡を受
> けています。みなさんはどうされているのでしょうか。またプライベートCA構築ツー
> ルの利用についての記述があります。みなさんもこのレベルまでのsecuityを実行さ
> れているのでしょうか。


これら


> ご意見をお聞かせください。今のところIBMサーバ（RAID1設
> 定）とWindowsクライアント1台のみの構成で支障はないようですが、危険なのでしょ
> うか。よろしくお願いします。

この件はセキュリティー全般の一部の話です。これ以前の話として
１）ORCAのインストールマニュアルの通りインストールしていますか？

rootやORCAに

アヤシイ
、これ以前の話が沢山あります

> 
> 荒賀
> 
> 
> 

★★★☆☆☆★★★☆☆☆★★★☆☆☆★★★☆☆☆
株式会社スカイ・エス・エイッチ http://www.sky.sh/
日医総研日医IT認定サポート事業所
　　　　　　　　　　　　　http://www.sky.sh/orca/
長谷川 司 hasegawa@xxxxxxx
京都市伏見区新町５丁目４９５北本ビル４Ｆ４０１
TEL 075-622-7385 FAX 075-622-7403