自鯖建立 4:VPSセキュリティ対策いろいろ - Misskey
前提:Misskey自鯖建立(XServerVPS)メモ【自由研究】
前:
自鯖建立 1:ひとまずのセットアップまで - Misskey
自鯖建立 1.5:コマンドとか操作とかひとまずのメモ(Ubuntu)
自鯖建立 2:SSH接続でのログイン方法を多少安全にする(公開鍵認証)
自鯖建立 3:Misskey追加の設定
✅️参考
基本
ど素人が少しでもいいのでVPSのセキュリティ向上を目指しました : Seritude: Archives
vpsセキュリティ設定で絶対にやるべき6つのこと【乗っ取り注意】 – サバが教えるレンタルサーバー選び方講座
サーバー作成直後に設定しておくべき初期セキュリティ設定 — さくらの VPS マニュアル
第751回 イマドキのVPSでUbuntuをセキュアに保つ | gihyo.jp
いろいろ
2020年度版Mastodon鯖管セキュリティチェックリスト - HackMD
項目が多くて参考になる
一通り確認してみる
これから初めてのMisskeyサーバーを建てたい人がすべきセキュリティ対策など|Esurio1673
## 内容
先にやっておこう
fail2banを設定する
SSHのポート番号変更とファイアウォール設定(Ubuntu)
パッケージ
aptでパッケージを手動更新する(Ubuntu)
unattended-upgradesでパッケージを自動更新・システム再起動する(Ubuntu)
不要なパッケージを削除(Ubuntu)
そのあとで
この項目は一旦後回しにして次の自鯖建立5に行ってもいいと思います
Ubuntuをアップグレードするか考える
すぐにやらなくてもいいけど使っているバージョン把握くらいはしておく
AppArmorを見てみる
ログ管理・監視(よくわからない)(Ubuntu)
## こういうのもできる
SSH
SSH接続許可するIPアドレスを限定する(XServer VPS) ←簡単
SSHキーにパスフレーズを追加
秘密鍵が漏洩してもワンクッション
接続時の二要素認証
Google authenticatorを設定できるらしい
めんどくなるけど
ログイン時にメール/Slack/Discordなどで通知
むずそう
sudoでパスワード聞かれないようにする
✅️参考:
sudo のパスワードを入力なしで使うには #Linux - Qiita
コマンド限定にしたほうがよさそう
/sbin/rebootとか…
sudoersを編集する時は$ sudo visudoを使う
保存したら$ sudo visudo -cで構文確認ができる
## 確認してみる
HSTSヘッダを確認する
Let's Encrypt証明書の自動更新設定を確認してみたい(Ubuntu)
SSLサイト評価でセキュリティを確認する
UFWで現在のファイアウォール設定を確認する
## 後で確認
DNS CAA?
DNSSEC?
上二つはCloudflareに項目がある
PostgreSQLのパスワード←?
セキュリティヘッダー?
https://developer.mozilla.org/en-US/observatory
https://securityheaders.com/
https://cybersecurity-jp.com/column/102306
不要なHTTPヘッダを無効化 ?
もっとやれることがあると思うのですが、とりあえずやれと言われているようなことはこれでできたか…?
ちょっと対策して終わりではないので勉強…
一旦次へGO
次:自鯖建立 5:データベースをR2に自動バックアップさせる - Misskey