nikkeyl
  • Telegram

VPSのセキュリティ、Nginx、UFW、ユーザーの設定、SSHによるログイン

VPSのセキュリティ、Nginx、UFW、ユーザーの設定、SSHによるログイン

196

5 分。

事前要件

動作させるには、nginxdocker、およびufwが必要です。これらがインストールされているか確認してください:

docker --version && nginx -v && sudo ufw status

まだインストールされていない場合は、次のコマンドを実行してください:

sudo apt update && sudo apt install nginx docker.io ufw -y

ユーザーの基本設定

rootユーザーとして作業することは絶対に避けてください。新しいユーザーを作成し、そのユーザーに管理者権限を付与してください。

  • ユーザーの追加:

    adduser user  # "user" を自分の名前に置き換えてください

    出力は次のようになります: Adding user "user" ... Enter new UNIX password: (パスワードを入力してください。文字は表示されません)。

  • 権限の付与と確認:

    usermod -aG sudo user
groups user

    期待される出力 user : user sudo

SSH キーによるログインの設定

次に、SSHキー以外の方法でのログインをすべて無効にしてください。

  1. すでに SSH キーをコンピュータに持っている場合は、それをサーバーに送信してください:

     ssh-copy-id user@サーバーの IP アドレス

  2. キーがない場合、キーを作成してください:

    ssh-keygen -t ed25519 -C "user@vps"
# その後、上記の ssh-copy-id コマンドで送信してください

    この方法でコピーする場合、サーバーのパスワードの入力が必要になる場合があります。セキュリティ上の理由から、パスワード入力時にはパスワードは表示されません!

パスワードによるログインとルートアクセスを無効化

次に、鍵以外の方法でログインできないように設定します。

  1. 設定ファイルを開きます sudo nano /etc/ssh/sshd_config

  2. 以下の行を見つけて変更(または追加)します:

    • PermitRootLogin no - SSH経由でrootユーザーとして直接ログインすることを禁止します。
    • PasswordAuthentication no - 通常のパスワードを使用したサーバーへのログインを無効にします。
    • ChallengeResponseAuthentication no - 「呼び出し-応答」方式による認証を無効にします。
    • UsePAM no - SSH 用の PAM (Pluggable Authentication Modules) モジュールの使用を無効にします。

  3. サービスを再起動します sudo systemctl restart ssh

これで、root としてログインしようとすると、root@ip: Permission denied (publickey) というメッセージが表示されます。

ファイアウォール (UFW) の設定

ファイアウォールは、許可したポート以外のすべてのポートをブロックします。

ポートプロトコル用途重要度
22TCPSSH必須! これがないとサーバーとの接続が失われます。
80TCPHTTPNginx の標準ポート。
443TCPHTTPSSSL トラフィック用の保護されたポート。

より安全にするために、SSHのポートを別のポートに変更し、UFWの設定にも追加してください!

UFW の設定:

sudo ufw enable
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status

status コマンドの出力は次のようになります。

Status: active
To Action From
-- ------ ----
22/tcp ALLOW Anywhere

Next.js の React2Shell 脆弱性

React2Shell は、ハッカーが React フォームを介してサーバー上でコードを実行することを可能にする重大な脆弱性です。

侵害を確認する方法

プロセスとファイルのリストを確認してください。疑わしい兆候:

  • システム内のファイル:ssh.shsex.shkai.tar.gzhttd
  • xmrig プロセス(マイナー、CPU を 100% 負荷)。
    • top または htop コマンドで確認できます。

防御方法

  1. Next.js の更新 - 安全なバージョン 15.0.515.1.915.2.615.3.615.4.815.5.716.0.7 に緊急更新してください。

  2. Node.js 24 - ファイルへのアクセスを制限するために、新しい Node 権限モデルを使用してください。

  3. 安全な Docker:

    • --read-only フラグを指定してコンテナを起動してください。
    • Dockerfile での root からの起動を削除し、USER node を使用してください。
    • コンテナが内部リソースのみにアクセスできるように設定してください(ホワイトリスト)。

  4. ハッキングされた場合 - 感染したサブディレクトリ/コンテナを削除し、キャッシュをクリアし、必ずすべての秘密鍵とパスワードを変更してください。

記事は随時更新されます

類似カテゴリ:

関連記事

  • アドバイスウェブサイトにおける悪い慣行

    ウェブサイトにおける悪い慣行

    ウェブデザインにおける致命的なミスの分析。スライダー、自動再生、重いページがコンバージョン率やGoogle・Yandexでの検索順位を低下させる理由

    45

    2 分。

  • ガイドVPNを有効にした状態でViteを使用する方法、迅速な解決策

    VPNを有効にした状態でViteを使用する方法、迅速な解決策

    VPN接続時にViteが正常に動作しない問題の解決方法、接続設定、およびローカルトラフィックがVPNトンネルにリダイレクトされるのを防ぐ方法

    184

    3 分。

ご連絡ください

プロジェクトの種類*