Xserver VPS&Mastodonのセキュリティメモ

Mastodonのセキュリティが大方できたので、また雑にメモを置いておきます。ちなみに、設置までの記録は下記の記事にありますので、先にこちらを読んでいただけると幸いです。

設置環境（おさらい）

• VPS：Xserver VPS 2GB
• ドメイン：ムームードメイン

ドメインとVPSの間にCloudFlare（無料版）を設置しました。

やったセキュリティ

• 管理者ユーザー作成、rootをふさぐ
• FWの導入
• ポートをふさぐ
• パスワードログインではなく公開鍵・秘密鍵で行う
• fail2banの導入
• CloudFlareでサーバーへのadminアクセスできるIPを制限
• アカウントログインのトラフィック制限を厳しくする

大雑把な流れ

1. rootでTera Teamログイン
2. 一般ユーザーを作成・管理者権限を付与
3. 一般ユーザーに公開鍵・秘密鍵の設定をする
4. sshd_configをいじってroot権限・パスワードログインをOFFにする
5. FWをインストールする
6. SSHのポートを変更する
7. fail2banの導入
8. Mastodonで管理者アカウントを作成

手こずったところのメモ

ミスった原因・前提

• Xserver VPSで公開鍵を作成した状態で作成した
• sshd_configのコメント部分を消し忘れた
• Masotodonアカウントをネット上で作った（一般ユーザー）

手順・失敗メモたち

Xserver VPSでUbuntu＆Mastodonインストール時に鍵を作ってしまった

インストール時に鍵を作ると自動で「パスワードログインが無効・鍵ログイン」になります。そのため、インストール時に鍵を作った人は、ユーザー作成後にログインできないことがあります。その状態でrootを閉じると最悪詰むため、先に公開鍵を登録しておくこと。（私のやり方だとWinSCPを使用）

• Xserver VPSで公開鍵を取得（メニューのSSH Key＞公開鍵をクリック＞出てきた文字列をコピー）
• WinSCPでrootログイン
• WinSCPの設定で隠しフォルダーを表示（設定＞パネル＞隠しファイルの表示）
• 作成したユーザー名のディレクトリに行く（home/ユーザー/.ssh）
• authorized_keysファイルの作成、拡張子はなくてOK
• ダブルクリックでファイルを開き、1で取得した公開鍵をペースト・保存、Tera Teamでパーミッション変更を行う
• Tera Teamで秘密鍵を使って作成したユーザーでログイン

これらを行った上でroot権限をふさげばOK。

sshd_configのコメント

ポート開放などで苦戦。初歩的なミスです、本当にありがとうございました。Xserver VPSの設定画面で「ポートを全部解放」してから、FWで不必要なポートをふさぎます。

Mastodonのアカウント作成

インストール時にアカウント作成できるけどしなかった＆サイトでMastodonアカウントを作成したせいで一般ユーザーに。そのため、アカウントが一般ユーザーになってしまい、管理者パネルに行けなくなる問題が発生しました。

さくらサーバーのマニュアルに載ってたコマンドを改良したことで解決。

sudo -u mastodon -i
cd live
RAILS_ENV=production bin/tootctl accounts modify --role Admin （ユーザー名）

参考サイト

• ConoHa VPSでUbuntuサーバーを構築（基礎設定）
• 一般ユーザーで公開鍵認証を使用してSSHログインする｜ConoHa VPSサポート
• Mastodon — さくらの VPS マニュアル

2023/05/07 追記

Xserver VPS をやめて Contabo で再度おひとりさまサーバーを立てました。

日本のVPSサーバーよりも格安かつハイスペックで借りられるので、気になる方はこちらもどうぞ！