[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[orca-users:13483] Re: セキュリティ設定に関して



荒賀様
いつもお世話になります。スカイエスエイッチ長谷川です。
私も今気がついたのですが、Ubuntu12.04のインストールマニュアルでは
postgresql.conf、pg_hba.confの記述が明確に書かれていないですね。

Ubuntu10.04のマニュアル42、43ページがわかりやすいです。
http://ftp.orca.med.or.jp/pub/data/receipt/download/lucid/lucid_install_47_01_20130430.pdf

/etc/postgresql/8.4/main/postgresql.conf
/etc/postgresql/8.4/main/pg_hba.conf
/etc/init.d/postgresql-8.4
Ubuntu12.04ではフォルダ名、ファイル名が異なっているので、以下に
置き換えてください。
/etc/postgresql/9.1/main/postgresql.conf
/etc/postgresql/9.1/main/pg_hba.conf
/etc/init.d/postgresql

> またNmap 192.168.0.200でスキャンしても 以下
>    Port      state     service
>   8000/TCP   open     http-alt
これであれば問題ありません。


> スカイエッチ長谷川様
> ご丁寧な回答ありがとうございます。ORCA導入手順は、ORCAのホームページ
> に公開されている順に行い。password設定など行っています。ルーターを通していま
> すし。Ubuntuソフトの入ったサーバは、ORCAのみに使用しています。
> pg_hba.confの設定も手順通りテキストに記入し保存をしたところ、ファイルがない
> とストップしています。ORCA-support centerに問い合わせたところ、ホームページ
> 上のセキュリティ用のマニュアルは、一般的なものを列挙しただけなので、自分で成
> 書を読みやってくれとのことでした。公開されているこの設定は以下の文章に従い行
> いましした。
> 
> 日医標準レセプトソフトシステムが使用するデータベースは、日医標準レセプトソフ
> トシステムを管理・実行するユーザ以外からは使用できないようにしてください。
> インストール直後の日医標準レセプトソフトデータベースは、日医標準レセプトソフ
> トを管理・実行するユーザのみ使用が可能になっていますので、データベースを起動
> して権限の設定を行うことありません。
> 
> Postgresのユーザ認証について記入するファイル「/var/lib/postgres/data/pg_hba.
> conf」についての記述は、以下のように設定してください。
> local        all                                           ident sameuser
> host         orca        127.0.0.1     255.255.255.255     trust
> host         all         127.0.0.1     255.0.0.0           ident sameuser
> host         all         0.0.0.0       0.0.0.0             reject
> 
> なおインストール直後では権限の設定を行わないとあるので上記の設定は必要ないの
> かとも理解しましたが、どうでしょうか。
> 
> Inetd.confはマニュアルにはありませんでした。マニュアルにはnetstat -I -A inet
> でしたが、これを実行するとマニュアルにあるような表示がされず、コマンド集の本
> で調べてこのコマンドを使ったところ、閉鎖されているポートが出てきました。
> Discard, daytime, timeが閉鎖として出てきました。
> またNmap 192.168.0.200でスキャンしても 以下
>    Port      state     service
>   8000/TCP   open     http-alt
> のみの表示で、マニュアルにあるような沢山のポート表示はありませんでした。
> 素人の質問で申し訳ありません。
> 
> 荒賀
> 
> -----Original Message-----
> From: orca-users-bounces@xxxxxxxxxxxxxx [mailto:orca-users-bounces@xxxxxxxxx
> or.jp] On Behalf Of orca-users-request@xxxxxxxxxxxxxx
> Sent: Thursday, January 23, 2014 12:00 PM
> To: orca-users@xxxxxxxxxxxxxx
> Subject: Orca-users まとめ読み, 48 巻, 4 号
> 
> Orca-users メーリングリストへの投稿は以下のアドレスに送ってください.
> 	orca-users@xxxxxxxxxxxxxx
> 
> Webブラウザを使って入退会するには以下のURLにどうぞ.
> 	http://ml.orca.med.or.jp/cgi-bin/mailman/listinfo/orca-users
> メールを使う場合,件名(Subject:)または本文に help と書いて以下の
> アドレスに送信してください.
> 	orca-users-request@xxxxxxxxxxxxxx
> 
> メーリングリストの管理者への連絡は,以下のアドレスにお願いします.
> 	orca-users-owner@xxxxxxxxxxxxxx
> 
> 返信する場合,件名を書き直して内容がわかるようにしてください.
> そのままだと,以下のようになってしまいます. "Re: Orca-users
> まとめ読み, XX 巻 XX 号"
> 
> 
> 本日の話題:
> 
>    1. [orca-users:13477] セキュリティ設定に関して (araga)
>    2. [orca-users:13478] Re: セキュリティ設定に関して (Hasegawa Tsukasa)
>    3. [orca-users:13479] Re: IBMサーバの利用について (星野雅昭)
> 
> 
> ----------------------------------------------------------------------
> 
> Message: 1
> Date: Wed, 22 Jan 2014 22:12:46 +0900
> From: "araga" <araga@xxxxxxxxxxxxxxxxx>
> To: <orca-users@xxxxxxxxxxxxxx>
> Subject: [orca-users:13477] セキュリティ設定に関して
> Message-ID: <000501cf1773$a460d100$ed227300$@megaegg.ne.jp>
> Content-Type: text/plain;	charset="iso-2022-jp"
> 
> スカイエスエイッチ長谷川様、患者番号について貴重なデータありがとうございまし
> た。自前で構築しているものにはORCAの設定マニュアルでは細かいところ(具体的な
> ところ)が不明で迷うところです。
> 
> ところで停止すべきポートを/etc/inetd.confで確認したところ、Dischard,
> daytime, timeのみが閉鎖れていることが分かりました。マニュアルには推奨する
> ネットワーク関連ポート(ftm,telnet,smpt,DNS, www-http, pop2, pop3, sunrpc)
> の閉鎖方法の記述がありません。ORCA-support centerに問い合わせたところは、コ
> マンドレベルでは公表していないとのことでした。ルータでも閉鎖可能との連絡を受
> けています。みなさんはどうされているのでしょうか。またプライベートCA構築ツー
> ルの利用についての記述があります。みなさんもこのレベルまでのsecuityを実行さ
> れているのでしょうか。ご意見をお聞かせください。今のところIBMサーバ(RAID1設
> 定)とWindowsクライアント1台のみの構成で支障はないようですが、危険なのでしょ
> うか。よろしくお願いします。
> 
> 荒賀
> 
> 
> 
> 
> 
> ------------------------------
> 
> Message: 2
> Date: Thu, 23 Jan 2014 09:38:18 +0900
> From: Hasegawa Tsukasa <hasegawa@xxxxxxx>
> To: ORCA全般の話題 <orca-users@xxxxxxxxxxxxxx>
> Subject: [orca-users:13478] Re: セキュリティ設定に関して
> Message-ID: <20140123093817.9C3C.9A4A3856@xxxxxxx>
> Content-Type: text/plain; charset="ISO-2022-JP"
> 
>  荒賀様
> いつもお世話になります。スカイエスエイッチ長谷川です。
> 
> セキュリティーの基本的な話
> 1)ORCAのインストールドキュメントの通りインストールしていますか?
>  特にpg_hba.confの設定。外部から繋ぎ放題になっていないか。
>  root、orcaのユーザがパスワード認証できるようにしていないか。
>  パスワード無しでどんなコマンドでも実行できるユーザを作っていないか。
> 2)ORCAレセコンでメール、インターネットをやっていませんよね?
> 3)ルーターは入れていますよね?
> 4)無線LANを入れた場合WPA、WPA2の暗号化を行ってますよね?
> 5)8000番ポートをインターネットから繋げるようにしていないですよね?
> 
> 以上を結構見かけます。私も分かってやっているケースもあります。
> 
> セキュリティー上一番良いのはインターネットからの切断と、ユーザごと
> (職員様ごと)にパスワードを変えることですが、不便になることも
> たくさんあります。
> 
> >/etc/inetd.conf
> 現在のインストールドキュメント通りのインストールでは、このファイルは
> 無いような気もするのですが?
> 
> >ネットワーク関連ポート(ftm(ftpです),telnet,smpt,DNS, www-http,
> >pop2, pop3, sunrpc)
> インストールドキュメント通りであれば、これらのサーバプロセスと
> なるようなプログラムはインストールされていないので、特に何もする
> 必要はありません。
> ポートを限定することは好ましいことなので、このリンク先の内容で理解
> できる場合、ご利用ください。(Pingも通らなくなります)
> http://www.sky.sh/orca/iptables.htm
> 
> >またプライベートCA構築ツールの利用についての記述があります。
> 院内ネットワークを盗聴されてしまう可能性のある場合は、利用する
> 意味はあります。
> 
> セキュリティーに関しては、特に気になるようでしたらインターネット
> 関連を含んだセキュリティーに詳しい会社に相談されるのが良いかと思います。
> コスト上の問題もあり中堅以上の病院様以外はあまりやっていないと思います。
> 
> セキュリティーに関して誰もが納得できる話をするためには、膨大な内容となり
> ORCAのホームページだけに記載するのは無理だと思います。
> またセキュリティーは性質上、核戦争に備えてシェルターに住んだ方が
> 良いと同様のロジックの話にもなり、難しいところです。
> 
> > スカイエスエイッチ長谷川様、患者番号について貴重なデータありがとうございま
> し
> > た。自前で構築しているものにはORCAの設定マニュアルでは細かいところ(具体的
> な
> > ところ)が不明で迷うところです。
> >
> > ところで停止すべきポートを/etc/inetd.confで確認したところ、Dischard,
> > daytime, timeのみが閉鎖れていることが分かりました。マニュアルには推奨する
> > ネットワーク関連ポート(ftm,telnet,smpt,DNS, www-http, pop2, pop3,
> sunrpc)
> > の閉鎖方法の記述がありません。ORCA-support centerに問い合わせたところは、
> コ
> > マンドレベルでは公表していないとのことでした。ルータでも閉鎖可能との連絡を
> 受
> > けています。みなさんはどうされているのでしょうか。またプライベートCA構築
> ツー
> > ルの利用についての記述があります。みなさんもこのレベルまでのsecuityを実行
> さ
> > れているのでしょうか。
> 
> 
> これら
> 
> 
> > ご意見をお聞かせください。今のところIBMサーバ(RAID1設
> > 定)とWindowsクライアント1台のみの構成で支障はないようですが、危険なので
> しょ
> > うか。よろしくお願いします。
> 
> この件はセキュリティー全般の一部の話です。これ以前の話として
> 1)ORCAのインストールマニュアルの通りインストールしていますか?
> 
> rootやORCAに
> 
> アヤシイ
> 、これ以前の話が沢山あります
> 
> >
> > 荒賀
> >
> >
> >
> 
> ★★★☆☆☆★★★☆☆☆★★★☆☆☆★★★☆☆☆
> 株式会社スカイ・エス・エイッチ http://www.sky.sh/
> 日医総研日医IT認定サポート事業所
>              http://www.sky.sh/orca/
> 長谷川 司 hasegawa@xxxxxxx
> 京都市伏見区新町5丁目495北本ビル4F401
> TEL 075-622-7385 FAX 075-622-7403
> 
> 
> 
> ------------------------------
> 
> Message: 3
> Date: Thu, 23 Jan 2014 10:41:51 +0900
> From: 星野雅昭 <masa@xxxxxxxxxxxx>
> To: ORCA全般の話題 <orca-users@xxxxxxxxxxxxxx>
> Subject: [orca-users:13479] Re: IBMサーバの利用について
> Message-ID:
> 	<CAFPL3XW95xGy+gu=kWx-j6U2q9uOfLn44YYSnfmgu+F173tB1A@xxxxxxxxxxxxxx>
> Content-Type: text/plain; charset=UTF-8
> 
> 荒賀先生
> 
> お世話になります。オープンスターの星野でございます。
> 
> LSC社の提供するOpenDolphinPro のOSは、CentOS です。
> 従って、VirtualBox等の仮想化ソフトを使わない場合は、
> 電子カルテサーバ(IBM3100X M4)にORCAサーバは同居できませんが
> 大丈夫でしょうか?
> 
> 以上、よろしくお願い申し上げます。
> 
> ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
> Open★Star 株式会社オープンスター
> 代表取締役 星野雅昭 (Masaaki Hoshino)
> 〒541-0051 大阪市中央区備後町3-6-2 大雅ビル10F-109
> tel:    050-5823-0493  D-FAX: 020-4664-1609
> phs:  070-6917-3038  e-mail: masa@xxxxxxxxxxxx
> url:    http://openstar.biz
> ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
> 
> 2013年12月10日 20:42 araga <araga@xxxxxxxxxxxxxxxxx>:
> 
> > 来援4月導入予定で、自力でORCAセットアップをしました。ORCA連携の電子カルテ
> > (OpenDorphin)も導入予定ですが、電子カルテのサーバはon board RAID 1設定の
> IBM
> > 3100X M4です。ORCAもこのRAID1設定でおこなおうと考えています。どなたかこの
> > セットでORCAを導入された方あれば、注意すべきことがあればご教示ください。
> >
> > 荒賀
> >
> >
> 
> ------------------------------
> 
> _______________________________________________
> Orca-users mailing list
> Orca-users@xxxxxxxxxxxxxx
> http://ml.orca.med.or.jp/cgi-bin/mailman/listinfo/orca-users
> 
> 
> 以上: Orca-users まとめ読み, 48 巻, 4 号
> ****************************************
> 

★★★☆☆☆★★★☆☆☆★★★☆☆☆★★★☆☆☆
株式会社スカイ・エス・エイッチ http://www.sky.sh/
日医総研日医IT認定サポート事業所
             http://www.sky.sh/orca/
長谷川 司 hasegawa@xxxxxxx
京都市伏見区新町5丁目495北本ビル4F401
TEL 075-622-7385 FAX 075-622-7403