Linux VPS サーバーは、組み込みの Linux セキュリティ モデルを通じて Windows システムよりも優れたセキュリティを提供します。ただし、完全に防げるシステムはありません。ハッカーは毎日数百万台のサーバーを積極的にスキャンし、機密データを悪用したり、大規模な攻撃にサーバーを使用したりするための脆弱性を探しています。
Linux サーバーを保護する方法を学ぶには、慎重な構成が必要です。新規の VPS インストールには、セキュリティよりもアクセシビリティを優先するデフォルト設定が付属しています。 Linux サーバーの実装を保護する方法を理解すると、システムの機能を維持しながら進化する脅威から保護できます。このガイドでは、Linux サーバー インフラストラクチャを保護し、脆弱なシステムを一般的な攻撃を撃退する要塞に変えるための 20 の重要な手順を示します。
Linux VPS とは何ですか?
Linux VPS (Virtual Private Server) は、他のユーザーから分離された専用リソースを備えたクラウド プラットフォーム上で実行されます。侵害された 1 つのアカウントが他のアカウントに影響を与える可能性がある共有ホスティングとは異なり、安全な VPS ホスティングは環境を隔離します。しかし、攻撃者は依然として安全でない VPS サーバーをターゲットにして、データを盗んだり、マルウェアをインストールしたり、他のシステムに対して攻撃を仕掛けたりしています。
注文するとき Linux VPSを購入する ホスティングでは、オペレーティング システムには基本設定がプリインストールされています。これらのデフォルト構成では、セキュリティよりも使いやすさが優先され、サーバーは一般的な脆弱性をスキャンする自動化された攻撃にさらされることになります。 VPS サーバーを使用してセキュリティ クラウド データを実装するには、基本的なインストールを超えた事前の対策が必要です。
Linux VPS を保護する必要がある理由
セキュリティで保護されていないサーバーは、オンラインになってから数時間以内に標的になります。組織は現在、次のような問題に直面しています。 1 週間あたり平均 1,876 件のサイバー攻撃、前年比 75% の増加に相当します。 Linux サーバー インフラストラクチャを保護する方法を理解すると、システムを侵害する可能性があるこれらの絶え間ない脅威から保護できます。
最も危険な側面は、高度な攻撃が検出されないことが多いことです。攻撃者は、明らかな侵入の兆候なしに、データにアクセスしたり、通信を監視したり、サーバーのリソースを使用したりする可能性があります。攻撃者はその存在を公表しないため、安全な VPS ホスティングには事前の対策が必要です。異常なアクティビティに気づいたときには、すでに重大な損害が発生している可能性があります。
Linux セキュリティ モデル (LSM)
Linux には、重要なシステム コンポーネントへの不正アクセスを拒否するセキュリティ機能が組み込まれています。 Linux セキュリティ モデルと図は、アクセス制御がファイル、プロセス、ユーザー インタラクションをどのように保護するかを示しています。これにより複数のセキュリティ層が作成され、他のオペレーティング システムと比べて悪用が困難になります。
ただし、LSM では、不適切な構成、脆弱なパスワード、または古いソフトウェアによって引き起こされる攻撃を防ぐことはできません。これらは Linux サーバーを保護する方法の基盤を提供しますが、効果を発揮するには適切な実装が必要です。 Ubuntu VPS ホスティング および他の Linux ディストリビューション。
Linux VPS を保護する 20 の方法
これらのセキュリティ対策は、基本的な構成変更から高度な監視システムにまで進みます。 Linux サーバー環境を保護する方法を習得するには、これらの手順を体系的に実装して、一般的な攻撃ベクトルに対抗する安全な Linux サーバーを構築する必要があります。
各手法は、攻撃者が一般的に悪用する特定の脆弱性に対処します。その方法は、すべてのサーバーに必要な基本的な構成から、高度な脅威検出のための高度な監視システムまで多岐にわたります。即時の保護を提供する対策もあれば、長期的なセキュリティの回復力を生み出す対策もあります。実装順序は重要です。基本的な強化手順は高度な監視ツールよりも先に実行する必要があります。これら 20 の戦略を組み合わせることで、重複するセキュリティ層が作成され、サーバーの攻撃対象領域が大幅に減少します。
1. ソフトウェアを最新の状態に保つ
古いソフトウェアには、攻撃者が悪用する既知のセキュリティ脆弱性が含まれています。ソフトウェア開発者はこれらの脆弱性を修正するパッチを定期的にリリースし、更新を Linux サーバー システムを保護するための防御の第一線としています。
重要なセキュリティ パッチの自動更新を構成します。
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/RHEL
sudo yum update -y利用可能なアップデートに関する電子メール通知を設定して、手動レビューが必要なセキュリティ パッチに関する最新情報を常に入手します。
2. root ログインを無効にする
すべての Linux サーバーには、無制限のシステム アクセスを持つ「root」ユーザー アカウントが含まれています。ハッカーはこのアカウントが常に存在することを知っているため、次のように標的にします。 ブルートフォース攻撃 パスワードを推測し、完全なサーバー制御を取得します。
root アクセスを無効にする前に、新しい管理ユーザーを作成します。
# Create new user
sudo adduser adminuser
sudo usermod -aG sudo adminuser
# Disable root login in SSH configuration
sudo nano /etc/ssh/sshd_config
# Change: PermitRootLogin no
sudo systemctl restart sshdこれにより、攻撃者はユーザー名とパスワードの両方を推測する必要が生じ、セキュリティが大幅に向上します。
3. SSH キーペアの生成
パスワードベースのログイン、特にパスワードが脆弱な場合、脆弱性が発生する可能性があります。 SSH キー認証は、より安全な代替手段を提供します。パスワードの代わりに暗号キーを使用することで、より堅牢で解読されにくい認証方法が保証されます。
このセキュリティ対策は、次のような状況を考慮すると特に重要です。 データ侵害の 24% では、盗まれた認証情報が最初の攻撃ベクトルとして機能します セキュリティ調査によると。これらの攻撃は、他のどの方法よりも検出して阻止するのに時間がかかるため、SSH キーによる防御が不可欠です。
安全な認証のための SSH キー ペアを生成します。
ssh-keygen -t rsa -b 4096
ssh-copy-id username@server-ipSSH キーは最大 4096 ビットの長さにできるため、複雑なパスワードよりも安全性が大幅に高まります。
4. 二要素認証を有効にする
2 要素認証では、パスワードに加えて 2 番目の検証手順が追加されます。たとえ攻撃者がパスワードを入手したとしても、2 番目の認証要素がなければサーバーにアクセスすることはできません。
2 要素認証をインストールして構成します。
sudo apt install libpam-google-authenticator
google-authenticatorサーバーアクセス用の時間ベースのコードを生成するようにモバイル認証アプリを構成します。
5. SSHポートの変更
デフォルトの SSH ポート (22) は、自動スキャン ツールからの継続的な攻撃試行を受信します。カスタム ポートに変更すると、これらの自動化された攻撃にさらされる機会が減ります。ということを考えると、 データ侵害の世界平均コストは488万ドルに達した 2024 年には、ポートの変更などの単純なセキュリティ対策でも、自動化された脅威に対する貴重な保護が提供されます。
ほとんどの Linux ディストリビューションの場合:
sudo nano /etc/ssh/sshd_config
# Find: #Port 22
# Change to: Port 2222 (choose a port between 1024-65535)
sudo systemctl restart sshdUbuntu 23.04 以降のバージョンの場合:
sudo nano /lib/systemd/system/ssh.socket
# Update ListenStream=2222
sudo systemctl daemon-reload
sudo systemctl restart ssh.service重要: 現在のセッションを閉じる前に、新しいポートをテストします。
# Test connection in a new terminal
ssh username@server-ip -p 2222新しいポートを許可するようにファイアウォール ルールを更新します。
sudo ufw allow 2222
sudo ufw delete allow 22 # Remove old rule after testing接続するときは、必ず新しいポートを指定してください。 ssh ユーザー名@サーバー IP -p 2222
6. 未使用のネットワークポートとIPv6を無効にする
オープン ネットワーク ポートは攻撃者に侵入ポイントを提供します。実行中の各サービスは潜在的な脆弱性を生み出すため、不要なサービスとそれに関連するポートを無効にします。
現在開いているポートを表示します。
sudo netstat -tulpn
# Alternative command
sudo ss -tulpn使用 iptables ファイアウォール ルールを管理し、不要なポートを閉じます。
必要がない場合は、IPv6 を無効にします。
sudo nano /etc/sysctl.conf
# Add these lines:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Apply changes
sudo sysctl -p
# Verify IPv6 is disabled
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
# Should return 1ネットワーク構成を更新します (実際のネットプラン ファイルを見つけます)。
# Find netplan configuration files
ls /etc/netplan/
# Edit your specific configuration file
sudo nano /etc/netplan/[your-config-file].yaml
# Comment out IPv6 configuration lines
sudo netplan apply7. ファイアウォールの構成
ファイアウォールは、どのネットワーク トラフィックがサーバーに到達できるかを制御します。これらは、指定されたポートを介した正規のトラフィックを許可しながら、未承認の接続をブロックします。
クイック UFW セットアップ:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable重要なファイアウォール ルール:
| 目的 | 指示 | 結果 |
| HTTPを許可する | sudo ufw 許可 80 | Web トラフィックが許可される |
| HTTPSを許可する | sudo ufw 許可 443 | 安全なウェブトラフィック |
| カスタム SSH ポートを許可する | sudo ufw 許可 2222 | カスタムポートでのSSH |
| 特定の IP をブロックする | sudo ufw 192.168.1.100 から拒否 | IPが完全にブロックされている |
ファイアウォールのステータスを確認します。
sudo ufw status verboseこの構成では、SSH 接続を除くすべての受信トラフィックがブロックされます。
8. マルウェア対策およびウイルス対策アプリケーションをインストールする
Linux システムは、データを盗んだり、暗号通貨をマイニングしたり、攻撃者にバックドア アクセスを提供したりするマルウェアに感染する可能性があります。マルウェア対策ソフトウェアは、システムを侵害する前にこれらの脅威を検出して削除します。
包括的なウイルス スキャンのために ClamAV をインストールします。
sudo apt install clamav clamav-daemon clamav-freshclam
sudo freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam重要なディレクトリに対して手動スキャンを実行します。
sudo clamscan -r /home --infected --remove --bell
sudo clamscan -r /var/www --infected --remove保護を強化するには、ClamAV と一緒に Maldet をインストールします。
# Verify URL availability before downloading
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sudo ./install.sh
# Note: Always verify download URLs from official sources before usecron を使用して毎日の自動スキャンをスケジュールします。
# Add to crontab: Daily scan at 2 AM
0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove9. ルートキットスキャナーのインストール
ルートキットはオペレーティング システムの奥深くに潜む悪意のあるプログラムであり、多くの場合、標準のウイルス対策ソフトウェアでは検出されません。通常の検出方法では認識されないまま、攻撃者にシステムへの永続的なアクセスを提供する可能性があります。
ルートキット検出用に Chkrootkit をインストールして構成します。
sudo apt install chkrootkit
sudo chkrootkit | grep INFECTEDルートキット保護を追加するには、RKHunter をインストールします。
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check毎週の自動ルートキット スキャンを作成します。
# Add to crontab: Weekly rootkit scan every Sunday at 3 AM
0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet
0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.logルートキットが検出された場合は、システムの整合性を維持しながらルートキットを完全に削除するのは非常に難しいため、サーバーをただちに隔離し、OS の完全な再インストールを検討してください。
10. 侵入防御に Fail2Ban を使用する
Fail2Ban はログイン試行を監視し、ログイン試行の繰り返しの失敗など、悪意のある動作を示す IP アドレスを自動的にブロックします。
クイックインストール:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local重要な SSH 保護設定:
[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600主要な構成値:
| 設定 | 価値 | 意味 |
| マックスリトライ | 3 | 禁止される前の失敗した試み |
| 禁止時間 | 3600 | 禁止期間(1時間) |
| ファインタイム | 600 | 時間枠(10分) |
開始して有効にする:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban禁止された IP を確認します。
sudo fail2ban-client status sshd11.SELinuxをオンにする
Security-Enhanced Linux (SELinux) は、プログラムが侵害された場合でもプログラムの実行を制限する必須のアクセス制御を提供します。標準の Linux 権限を超えた追加のセキュリティ層を作成します。
SELinux を確認して有効にします。
sestatus
sudo setenforce enforcingSELinux ポリシーは、侵害されたアプリケーションが無許可のシステム リソースにアクセスすることを防ぎます。これらに従ってください SELinux を最大限に活用するための短い手順 最適な構成を実現します。
12. ファイル、ディレクトリ、電子メールを保護する
機密ファイルを暗号化して、攻撃者がシステムにアクセスした場合でも、不正なアクセスから保護します。これは、機密データを扱う安全なファイル サーバー Linux 構成に不可欠です。
ファイル暗号化に GPG を使用します。
gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filename適切なファイル権限を設定してアクセスを制限します。
chmod 600 sensitive-file # Owner read/write only
chmod 700 private-directory # Owner access only13. 定期的にバックアップを作成する
定期的なバックアップにより、セキュリティ インシデント、ハードウェア障害、または偶発的なデータ損失から確実に回復できます。自動バックアップは人的エラーのリスクを軽減し、安全な VPS ホスティング戦略の重要な要素を形成します。
自動バックアップ スクリプトを作成します。
#!/bin/bash
tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/log3-2-1 バックアップ ルールに従って、オフサイト ストレージを含む複数の場所にバックアップを保存します。
14. ディスクパーティションの作成
ディスクのパーティション分割によりシステム ファイルがユーザー データから分離され、1 つのパーティションが侵害された場合でも被害が制限されます。また、1 つの領域でのディスク容量の枯渇がシステム全体に影響を与えるのを防ぎます。
推奨されるパーティション スキーム:
/ブート – 500MB (ブートファイル)
/ – 20GB (システムファイル)
/家 – 50GB (ユーザーデータ)
/var – 10GB (ログとデータベース)
/tmp – 2GB (一時ファイル)
スワップ – 2GB (仮想メモリ)
セキュリティ制限のある一時パーティションをマウントします。
# Add to /etc/fstab for permanent mounting
echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab
echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab#すぐに申請してください
sudo mount -aパーティションのセキュリティを確認します。
mount | grep -E "(noexec|nosuid|nodev)"
df -h # Check disk usage by partitionの noexec オプションは悪意のある実行可能ファイルの実行を防ぎます。 ノースイド set-user-ID ビットを無効にし、 ノーデブ 一時ディレクトリにデバイス ファイルが作成されないようにします。
15. サーバーログの監視
サーバー ログにはすべてのシステム アクティビティが記録され、セキュリティ インシデントの早期警告兆候が得られます。定期的なログ監視は、重大な脅威になる前に異常なパターンを特定するのに役立ちます。
監視する主なログ:
| ログファイル | 目的 | 指示 |
| /var/log/auth.log (Debian/Ubuntu)<br>/var/log/secure (CentOS/RHEL) | ログイン試行 | sudo tail -f /var/log/auth.log<br>sudo tail -f /var/log/secure |
| /var/log/syslog (Debian/Ubuntu)<br>/var/log/messages (CentOS/RHEL) | システムメッセージ | sudo tail -f /var/log/syslog<br>sudo tail -f /var/log/messages |
| /var/log/apache2/access.log (Debian/Ubuntu)<br>/var/log/httpd/access_log (CentOS/RHEL) | ウェブトラフィック | sudo tail -f /var/log/apache2/access.log<br>sudo tail -f /var/log/httpd/access_log |
| /var/log/fail2ban.log | ブロックされたIP | sudo tail -f /var/log/fail2ban.log |
クイックログ分析コマンド:
# Failed login attempts (adjust path for your distribution)
sudo grep "Failed password" /var/log/auth.log | tail -10
# Successful logins
sudo grep "Accepted" /var/log/auth.log | tail -10
# Large file transfers (adjust path for your web server)
sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10自動ログ監視:
# Install logwatch for daily summaries
sudo apt install logwatch
sudo logwatch --detail Med --mailto [email protected] --service Allログ ファイルがディスク領域を過剰に消費しないように、ログ ローテーションを設定します。
16. 強力なパスワードを使用する
強力なパスワードは、ブルート フォース攻撃や辞書攻撃に耐えます。最新のコンピューティング能力を使用すると、脆弱なパスワードを数分で解読できます。
パスワード要件:
- 最低 12 文字
- 大文字、小文字、数字、記号の混在
- 辞書の単語や個人情報は含まれません
- アカウントごとに一意
パスワード マネージャーを使用して、複雑なパスワードを安全に生成および保存します。図の原則を備えた他の Linux セキュリティ モデルと組み合わせることで、強力なパスワードは不正アクセスから保護する複数の防御層を形成します。
17. FTP よりも SFTP を優先する
標準の FTP は、データと資格情報をプレーン テキストで送信するため、ネットワーク盗聴者にそれらが見えるようになります。 SFTP はすべてのデータ送信を暗号化し、機密情報を保護し、安全なファイル サーバー Linux アーキテクチャをサポートします。
SFTP のみのアクセスを構成します。
sudo nano /etc/ssh/sshd_config
# Add: Subsystem sftp internal-sftp標準の FTP サービスを無効にして、セキュリティ リスクを排除します。
sudo systemctl disable vsftpd
sudo systemctl stop vsftpd18. CMS 自動更新を有効にする
コンテンツ管理システム (WordPress、Drupal、Joomla) はセキュリティ パッチを頻繁にリリースします。自動更新を有効にすると、重大な脆弱性に迅速にパッチが適用されます。
WordPress の場合、wp-config.php に追加します。
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');更新ログを監視して、互換性と機能を確認します。
19. 匿名 FTP アップロードを無効にする
匿名 FTP を使用すると、誰でも認証なしでファイルをサーバーにアップロードできます。これにより、サーバーが違法なコンテンツやマルウェアをホストしたり、攻撃の配布ポイントになったりする可能性があります。
認証を要求するように vsftpd を構成します。
sudo nano /etc/vsftpd.conf# 匿名アクセスを無効にする
anonymous_enable=NO# ローカルユーザー認証を有効にする
local_enable=YES
write_enable=YES
local_umask=022# ユーザーをホームディレクトリに制限する
chroot_local_user=YES
allow_writeable_chroot=YES# セキュリティ設定
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NOFTP サービスを再起動します。
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd権限が制限された FTP ユーザー アカウントを作成します。
sudo adduser ftpuser
sudo usermod -d /var/ftp/uploads ftpuser
sudo chown ftpuser:ftpuser /var/ftp/uploads
sudo chmod 755 /var/ftp/uploadsFTP アクセス ログを監視して、不審なアクティビティがないか確認します。
sudo tail -f /var/log/vsftpd.log20. ブルート フォース保護の構成
Fail2Ban を超えた複数層のブルート フォース保護を実装して、高度な自動攻撃から防御します。
追加の保護を構成します。
# Limit SSH connection attempts
sudo nano /etc/ssh/sshd_config
# Add: MaxAuthTries 3
# Add: ClientAliveInterval 300
# Add: ClientAliveCountMax 2DenyHosts などのツールを Fail2Ban と併用して、包括的な保護を実現します。
結論
Linux VPS を保護するには、基本的な構成変更から高度な監視システムに至るまで、複数の防御層を実装する必要があります。侵入検知や自動監視などの高度なツールを追加する前に、基本的なセキュリティ対策 (ソフトウェア更新、ファイアウォール構成、SSH 強化) から始めてください。
安全な Linux サーバーには、1 回限りの構成ではなく、継続的なメンテナンスが必要です。定期的にログを確認し、ソフトウェアを更新し、脅威の進化に応じてセキュリティ対策を調整します。適切なセキュリティ構成への投資により、コストのかかるデータ侵害が防止され、システムの信頼性が維持されます。
これらのセキュリティ対策は連携して機能することに注意してください。単一の技術で完全な保護を実現できるわけではありません。 20 の戦略をすべて実装すると、重複するセキュリティ層が作成され、一般的な攻撃に対するサーバーの脆弱性が大幅に軽減されます。安全なファイル サーバー Linux 構成が必要な場合でも、一般的な安全な VPS ホスティング保護が必要な場合でも、これらの基本的な手順により重要なセキュリティが提供されます。
