Linux VPS 初期設定の流れ

• VPS 管理画面でコンソール接続またはレスキューモードを使えるか
• SSH 公開鍵を管理画面に登録済みか
• 作業中に SSH を切っても復旧できる別ターミナルを用意したか
• 本番データがある場合、作業前にスナップショットを取ったか

SSH 設定やファイアウォールを間違えると、自分自身を締め出すことがあります。 設定変更後は既存セッションを残したまま、別ターミナルで新規ログインできることを確認してから次へ進みます。

ローカルマシンで鍵を作成（既存があれば省略）:

ssh-keygen -t ed25519 -C "your@email.com" -f ~/.ssh/servercost_ed25519

サービス事業者の管理画面で公開鍵を登録し、初回 SSH ログインします:

ssh -i ~/.ssh/servercost_ed25519 root@your-server-ip

初回ログイン後は、公開前に OS パッケージを更新します。

apt update && apt -y upgrade
apt -y autoremove

カーネル更新が入った場合は再起動が必要です。再起動後にもう一度 SSH 接続できることを確認します。

reboot
ssh -i ~/.ssh/servercost_ed25519 root@your-server-ip

adduser deploy
usermod -aG sudo deploy
mkdir -p /home/deploy/.ssh
cp ~/.ssh/authorized_keys /home/deploy/.ssh/
chown -R deploy:deploy /home/deploy/.ssh
chmod 700 /home/deploy/.ssh && chmod 600 /home/deploy/.ssh/authorized_keys

別ターミナルで ssh deploy@your-server-ip が通ること、sudo whoami が root を返すことを確認してから先に進みます。

/etc/ssh/sshd_config を編集:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
Port 22

SSH ポート変更は攻撃ログを減らす効果はありますが、セキュリティの本体ではありません。 まず鍵認証とパスワード認証無効化を確実に行い、必要ならファイアウォール側の許可ポートも同時に変更します。

sshd -t
systemctl reload ssh

既存の SSH セッションを残したまま、別ターミナルで ssh deploy@your-server-ip が通ることを確認します。

Ubuntu では ufw が標準的な簡易フロントエンドです。Ubuntu 公式ドキュメントでも、ufw allow 22 のように必要なポートだけを開ける方法が案内されています。

apt -y install ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp     # SSH（ポート変更したらその番号）
ufw allow 80/tcp     # HTTP
ufw allow 443/tcp    # HTTPS
ufw enable

適用後に状態を確認します:

ufw status verbose

管理画面側にクラウドファイアウォールがあるサービスでは、OS 内の ufw と二重で制御できます。 どちらか片方だけに頼るより、外側で不要ポートを閉じ、内側でも最小許可にする方が安全です。

apt -y install unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades

自動更新は脆弱性修正の取りこぼしを減らします。ただし、カーネル更新やミドルウェア更新で再起動が必要になることがあります。 本番では「自動更新 + 週 1 回の手動確認」をセットにします。

timedatectl set-timezone Asia/Tokyo
hostnamectl set-hostname web-01
apt -y install chrony

パスワード認証を無効化していても、SSH には継続的にログイン試行が来ます。 ログのノイズを減らし、繰り返しの試行を遮断する目的で fail2ban または CrowdSec を検討します。

apt -y install fail2ban
systemctl enable --now fail2ban
fail2ban-client status sshd

VPS の初期設定は、セキュリティだけでなく復元できることまで含めて完了です。 サービス事業者の自動バックアップ、スナップショット、または外部ストレージへの rsync / restic などを使い、 DB とアップロードファイルをサーバー外に逃がします。

• OS 変更前はスナップショットを取る
• 本番 DB は日次で別ストレージへ退避する
• アップロードファイルはオブジェクトストレージも検討する
• バックアップは取るだけでなく、復元手順を 1 回試す

• SSH に入れなくなった: 管理画面のコンソールから ufw disable または sshd_config を戻す。
• Web が表示されない: ufw status、クラウドファイアウォール、nginx / Caddy の listen ポートを確認する。
• 更新後にアプリが落ちた: systemd ログ、アプリログ、DB 起動状態を確認し、直前のスナップショットへ戻す判断をする。
• ディスクが満杯: ログ、Docker イメージ、DB バックアップの保存先を確認する。

• nginx / Caddy で HTTPS（Let's Encrypt 自動更新）
• Docker / Docker Compose インストール
• サービス事業者のバックアップ機能を有効化
• 監視サービスで HTTP 死活監視とディスク使用量を確認
• 本番デプロイ手順を README に残す

• Ubuntu Server: Firewall / ufw
• Mastodon 公式ドキュメント: サーバー準備と SSH / fail2ban / firewall

Web サービス運用 に絞った各サービス事業者のプランを、月額換算が安い順で確認できます。

• Vultr × Web サービス運用
  該当 82 プラン
• Linode (Akamai) × Web サービス運用
  該当 74 プラン
• DigitalOcean × Web サービス運用
  該当 29 プラン
• AWS Lightsail × Web サービス運用
  該当 29 プラン
• Hetzner Cloud × Web サービス運用
  該当 25 プラン
• ConoHa VPS × Web サービス運用
  該当 7 プラン