「VPSを借りた!さっそくアプリをデプロイしよう!」——その気持ちはわかります。しかし初期設定をすっ飛ばしたVPSは、インターネット上に鍵をかけずに置いた家と同じです。VPSを借りてから数分以内に、世界中のボットがSSHポートへの総当たり攻撃を開始します。これは脅しではなく、実際にログを見れば確認できる現実です。
VPSのセキュリティをたとえで説明すると「新居に引っ越したときの最初の作業」のようなものです。鍵を交換し(rootログイン禁止・SSHポート変更)、防犯カメラをつけ(ファイアウォール設定)、不審者を検知する仕組みを入れる(fail2ban)——これらを最初にやるかどうかで、その後の安全性が大きく変わります。
新人エンジニアE:「VPS借りたんですが、何から始めればいいですか?」
シニアF:「まず一般ユーザーを作ってsudo権限付与、rootのSSHログインを無効化、公開鍵認証に切り替え、ファイアウォールを設定する。この4つが最優先だよ」
E:「rootでログインしちゃダメなんですか?」
F:「rootで直接ログインできる状態は危険すぎる。rootへの総当たり攻撃が常に来てると思っていい」
初期セキュリティ設定を順番に見ていきましょう。
# 1. 一般ユーザーの作成とsudo権限付与
adduser deploy
usermod -aG sudo deploy
# 2. 公開鍵をサーバーにコピー(ローカルから実行)
ssh-copy-id deploy@YOUR_SERVER_IP
# 3. SSHの設定変更
sudo nano /etc/ssh/sshd_config
# 以下を変更:
# PermitRootLogin no
# PasswordAuthentication no
# Port 2222 (デフォルト22から変更)
sudo systemctl restart sshd# 4. UFW(ファイアウォール)の設定
sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp # 変更後のSSHポート
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
# 5. fail2banのインストール(不正アクセスを自動ブロック)
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# 攻撃状況の確認
sudo fail2ban-client status sshdさらに自動セキュリティアップデートを有効にしておくと、既知の脆弱性に対して常に対策が施されます。
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgradesVPSを借りたその日のうちにこれらの設定を終わらせる習慣をつけましょう。「後でやろう」は「絶対やらない」と同義です。30分の設定が、後の大きなトラブルを防ぎます。
コメントを残す