Acces distant à medshake via vpn

Cette catégorie regroupe les demandes d'aide à l'utilisation du logiciel MedshakeEHR.
Avatar de l’utilisateur
Bertrand
Messages : 177
Inscription : 21 juil. 2020, 18:08
Localisation : Dans le grand bain
Contact :

Re: Acces distant à medshake via vpn

Message non lu par Bertrand »

L'accès en direct via le web au serveur apache est suicidaire.
Préférer grandement l'accès au réseau ethernet via un VPN.

B.

MedShakeEHR : Le Logiciel Médical Modulaire Libre
http://www.medshake.app/

MedShake : communauté médicale bien fraîche (et un peu secouée) !
https://www.medshake.net/

Avatar de l’utilisateur
Indelog
Administrateur
Messages : 71
Inscription : 10 juil. 2020, 10:06

Re: Acces distant à medshake via vpn

Message non lu par Indelog »

Arf j'avais fait quelque erreurs sur la page du wiki que j'ai corrigé.

Bon de toutes manière cette procédure est expérimental et demande à être testé et validé (va falloir qu'on s’interroge sur un protocole de test pour ce cas...). De plus c'est une approche moyennement correct car toutes la sécurité repose sur la config du serveur web et non celle de l'application mais cela peut devenir un complément appréciable (et plus rapide à élaborer).

Par contre je vois pas pourquoi l'accès directe via apache protégé par les certificats clients serait plus suicidaire que celle par VPN (en considérant que sur le serveur la seul config qui puisse donner l'accès aux fichier MedShake soit celle proposé et qui y en ai pas d'autres).

Ici j'utilise les directives <Location> pour contrôler les accès (https://httpd.apache.org/docs/2.4/mod/core.html#location), elle sont appliqué en dernier après les directives <Directory> et sont normalement prioritaire. Le point de vigilance est de s'assurer que les fichier de l'instance MedShake ne soient jamais accessibles via une autre url que celle attendus (je pense qu'un serveur qui fait tourner MedShake ne devrais servir qu'a ça).

Il me semple qu'un des souci les plus compliqué à géré à ce niveau sont les accès à certain fichier dans le dossier public_html qui sont direct (et qui devrais être servis par des scrip php pour en contrôler les accès). Avec la directive :

Code : Tout sélectionner

    <Directory /var/www/medshake/>
        SetEnv MEDSHAKEEHRPATH /var/www/medshake/EHR/
        Require expr %{SSL_CLIENT_VERIFY} == 'SUCCESS'
        Options FollowSymLinks
        AllowOverride all
    </Directory>

On bloque tout les accès aux client qui n'ont pas ce certificat valide. Puis on autorise au cas par cas aux besoin :

Code : Tout sélectionner

    <Location ~ /(phonecapture|public)/>
        # /!\ Replacer l'addresse ci-dessous par celle de votre réseau local
        Require ip 192.168.1.0/24
        # client de partout avec un certificat valide
	Require expr %{SSL_CLIENT_VERIFY} == 'SUCCESS'
    </Location>

etc...

Normalement on ne devrais pas avoir d’accès imprévus par des client non authentifié, si non je suis passé à coté d'un truc important et ça me tracasse pas mal....

DEMAREST Maxime (Indelog)
marsante
Messages : 175
Inscription : 25 juil. 2020, 18:42

Re: Acces distant à medshake via vpn

Message non lu par marsante »

par rapport à une installation normalisée, je n'ai pas encore finalisé le rôle openvpn du playbook ansible trouvable ici https://github.com/marsante/MedShakeEHR-Ansible, vu qu'il y a une infinité de variable que je ne maîtrise pas encore, mais je pourrai pousser ma branche locale si des personnes maîtrisent mieux que moi et veulent l'éditer

Répondre