[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[orca-users:13480] Re: セキュリティ設定に関して



最後の方に書きかけの内容を付けて送ってしまっているので
修正、再送信します。

荒賀様
いつもお世話になります。スカイエスエイッチ長谷川です。

セキュリティーの基本的な話
1)ORCAのインストールドキュメントの通りインストールしていますか?
 特にpg_hba.confの設定。外部から繋ぎ放題になっていないか。
 root、orcaのユーザがパスワード認証できるようにしていないか。
 パスワード無しでどんなコマンドでも実行できるユーザを作っていないか。
2)ORCAレセコンでメール、インターネットをやっていませんよね?
3)ルーターは入れていますよね?
4)無線LANを入れた場合WPA、WPA2の暗号化を行ってますよね?
5)8000番ポートをインターネットから繋げるようにしていないですよね?

以上を結構見かけます。私も分かってやっているケースもあります。

セキュリティー上一番良いのはインターネットからの切断と、ユーザごと
(職員様ごと)にパスワードを変えることですが、不便になることも
たくさんあります。

>/etc/inetd.conf
現在のインストールドキュメント通りのインストールでは、このファイルは
無いような気もするのですが?

>ネットワーク関連ポート(ftm(ftpです),telnet,smpt,DNS, www-http, 
>pop2, pop3, sunrpc)
インストールドキュメント通りであれば、これらのサーバプロセスと
なるようなプログラムはインストールされていないので、特に何もする
必要はありません。
ポートを限定することは好ましいことなので、このリンク先の内容で理解
できる場合、ご利用ください。(Pingも通らなくなります)
http://www.sky.sh/orca/iptables.htm

>またプライベートCA構築ツールの利用についての記述があります。
院内ネットワークを盗聴されてしまう可能性のある場合は、利用する
意味はあります。

セキュリティーに関しては、特に気になるようでしたらインターネット
関連を含んだセキュリティーに詳しい会社に相談されるのが良いかと思います。
コスト上の問題もあり中堅以上の病院様以外はあまりやっていないと思います。

セキュリティーに関して誰もが納得できる話をするためには、膨大な内容となり
ORCAのホームページだけに記載するのは無理だと思います。
またセキュリティーの話は性質上、核戦争に備えてシェルターに住んだ方が
良いと同様のロジックの話にもなり、難しいところです。

> ご意見をお聞かせください。今のところIBMサーバ(RAID1設
> 定)とWindowsクライアント1台のみの構成で支障はないようですが、危険なのでしょ
> うか。よろしくお願いします。

RAID1でもDBのバックアップを取れば大丈夫だと思います。
RAID1は機械的な故障のみ救済でき、論理エラーに対してなすすべがありません。


> スカイエスエイッチ長谷川様、患者番号について貴重なデータありがとうございまし
> た。自前で構築しているものにはORCAの設定マニュアルでは細かいところ(具体的な
> ところ)が不明で迷うところです。
> 
> ところで停止すべきポートを/etc/inetd.confで確認したところ、Dischard,
> daytime, timeのみが閉鎖れていることが分かりました。マニュアルには推奨する
> ネットワーク関連ポート(ftm,telnet,smpt,DNS, www-http, pop2, pop3, sunrpc)
> の閉鎖方法の記述がありません。ORCA-support centerに問い合わせたところは、コ
> マンドレベルでは公表していないとのことでした。ルータでも閉鎖可能との連絡を受
> けています。みなさんはどうされているのでしょうか。またプライベートCA構築ツー
> ルの利用についての記述があります。みなさんもこのレベルまでのsecuityを実行さ
> れているのでしょうか。


> ご意見をお聞かせください。今のところIBMサーバ(RAID1設
> 定)とWindowsクライアント1台のみの構成で支障はないようですが、危険なのでしょ
> うか。よろしくお願いします。


★★★☆☆☆★★★☆☆☆★★★☆☆☆★★★☆☆☆
株式会社スカイ・エス・エイッチ http://www.sky.sh/
日医総研日医IT認定サポート事業所
             http://www.sky.sh/orca/
長谷川 司 hasegawa@xxxxxxx
京都市伏見区新町5丁目495北本ビル4F401
TEL 075-622-7385 FAX 075-622-7403