VPSを公開すると、必ず不正アクセスが来る
VPSをインターネットに公開すると、
特別なことをしていなくても、不正アクセスは必ず発生します。
SSHへのログイン試行や、
Webサーバーに対する不審なリクエストは、
公開してからそれほど時間を置かずにログに現れます。
これは、個人運用かどうかに関係なく、
インターネットに接続されている以上、避けられない現実です。
セキュリティは「一気に固める」ものではない
VPSのセキュリティ対策というと、
- あれも必要
- これも設定すべき
- 最初から全部やらないと危険
と感じてしまいがちです。
しかし、実際の運用では、すべてを一度に完璧に整える必要はありません。
むしろ、いきなり複雑な設定を入れると、
- 何をしているのか分からなくなる
- 設定ミスに気づけない
- トラブル時に戻れなくなる
といったリスクの方が高くなります。
VPSのセキュリティは、段階的に積み上げていくものとして考える方が、現実的で、長く続けやすいです。
このシリーズで大切にする考え方
段階的に安全性を高めていく
このシリーズでは、
- まず入口を絞る
- 次に不正な試行を遮断する
- そしてログを見て状況を把握する
というように、一つずつ役割を分けて対策を進めていきます。
「ここまでやれば、とりあえず大丈夫」というラインを、その都度示すことを意識します。
完全防御を目指さない
本シリーズでは、
- 完全に安全な構成
- これさえやれば安心
といった書き方はしません。
セキュリティには、環境差や運用方針による違いが必ずあります。そして、VPSを外部に公開している以上、完全なセキュリティというのは存在しないと思っています。
あくまで、
- 私自身のVPS環境
- 個人運用という前提
- 現実的な手間とコスト
をベースにした考え方として整理します。
設定だけでなく「運用」も重視する
セキュリティ対策は、設定して終わりではありません。
- ログを見て状況を知る
- 攻撃の傾向を把握する
- 設定を変えない判断をする
こうした 運用の視点 も、このシリーズでは大切に扱っていきます。
このシリーズで扱う内容
扱うテーマ
このシリーズでは、主に次の内容を取り上げます。
- ufwによる最低限のファイアウォール設計
- SSHの基本的な安全対策
- fail2banによる不正アクセス対策
- Logwatchを使った攻撃ログの観測
- 日常的なVPSセキュリティ運用の考え方
いずれも、私が実際に使いながら判断してきた内容を中心に整理します。
深追いしないテーマ
一方で、次のような内容は深く扱いません。
- 過度に複雑なセキュリティ設計
- 特定のVPS事業者に依存する構成
- 外部サービスを前提とした防御
まずは、サーバー自身でできる基本的な対策を軸に進めます。
本シリーズの前提環境
本シリーズは、次のような環境を前提としています。
- Ubuntu Server 24.04
- VPSをインターネットに公開している
- 個人運用を想定した構成
- WordPressを利用している(必須ではありません)
環境によって差が出る部分については、その都度、注意点として補足します。
シリーズ全体の流れ
現時点では、次のような流れを想定しています。
- ufwで最低限やるべきファイアウォール設計
- SSHの基本的な安全対策
- fail2ban導入と基本的なBANルール
- fail2banの運用と再犯対策
- Logwatchの導入と攻撃ログの観測
- ログから見えてきた攻撃傾向(1週間・1か月)
運用を続ける中で、必要に応じて記事を追加していく予定です。
まずは「現実を知る」ところから
VPSのセキュリティ対策は、いきなり強く固める必要はありません。
まずは、
- どんなアクセスが来ているのか
- どの程度の頻度なのか
を知ることが、第一歩になります。
このシリーズは、設定と観測を行き来しながら、少しずつ安全性を高めていく記録でもあります。
次回は、ufwを使ったファイアウォール設計から始めます。
