Mastodonのセキュリティが大方できたので、また雑にメモを置いておきます。ちなみに、設置までの記録は下記の記事にありますので、先にこちらを読んでいただけると幸いです。
Xserver VPSでMastodonを構築したときの備忘録メモ
2023/02/12にVPSサーバーを借りておひとり様Mastdonサーバー設置に挑戦してみました。ローカルタイムラインでおひとり様サーバーのことを喋ると質問されることが多いの…
目次
設置環境(おさらい)
- VPS:Xserver VPS 2GB
- ドメイン:ムームードメイン
ドメインとVPSの間にCloudFlare(無料版)を設置しました。
やったセキュリティ
- 管理者ユーザー作成、rootをふさぐ
- FWの導入
- ポートをふさぐ
- パスワードログインではなく公開鍵・秘密鍵で行う
- fail2banの導入
- CloudFlareでサーバーへのadminアクセスできるIPを制限
- アカウントログインのトラフィック制限を厳しくする
大雑把な流れ
- rootでTera Teamログイン
- 一般ユーザーを作成・管理者権限を付与
- 一般ユーザーに公開鍵・秘密鍵の設定をする
- sshd_configをいじってroot権限・パスワードログインをOFFにする
- FWをインストールする
- SSHのポートを変更する
- fail2banの導入
- Mastodonで管理者アカウントを作成
手こずったところのメモ
ミスった原因・前提
- Xserver VPSで公開鍵を作成した状態で作成した
- sshd_configのコメント部分を消し忘れた
- Masotodonアカウントをネット上で作った(一般ユーザー)
手順・失敗メモたち
Xserver VPSでUbuntu&Mastodonインストール時に鍵を作ってしまった
インストール時に鍵を作ると自動で「パスワードログインが無効・鍵ログイン」になります。そのため、インストール時に鍵を作った人は、ユーザー作成後にログインできないことがあります。その状態でrootを閉じると最悪詰むため、先に公開鍵を登録しておくこと。(私のやり方だとWinSCPを使用)
- Xserver VPSで公開鍵を取得(メニューのSSH Key>公開鍵をクリック>出てきた文字列をコピー)
- WinSCPでrootログイン
- WinSCPの設定で隠しフォルダーを表示(設定>パネル>隠しファイルの表示)
- 作成したユーザー名のディレクトリに行く(home/ユーザー/.ssh)
- authorized_keysファイルの作成、拡張子はなくてOK
- ダブルクリックでファイルを開き、1で取得した公開鍵をペースト・保存、Tera Teamでパーミッション変更を行う
- Tera Teamで秘密鍵を使って作成したユーザーでログイン
これらを行った上でroot権限をふさげばOK。
sshd_configのコメント
ポート開放などで苦戦。初歩的なミスです、本当にありがとうございました。Xserver VPSの設定画面で「ポートを全部解放」してから、FWで不必要なポートをふさぎます。
Mastodonのアカウント作成
インストール時にアカウント作成できるけどしなかった&サイトでMastodonアカウントを作成したせいで一般ユーザーに。そのため、アカウントが一般ユーザーになってしまい、管理者パネルに行けなくなる問題が発生しました。
さくらサーバーのマニュアルに載ってたコマンドを改良したことで解決。
sudo -u mastodon -i
cd live
RAILS_ENV=production bin/tootctl accounts modify --role Admin (ユーザー名)
参考サイト
2023/05/07 追記
Xserver VPS をやめて Contabo で再度おひとりさまサーバーを立てました。
ContaboでおひとりさまMastodonを構築したメモ
先日、ContaboでMastodonのおひとりさまサーバーを設置しました。前回はXserver VPSで行いましたが、今回はドイツのVPSサーバーを選択。前回の設置メモに関しては、下記…
日本のVPSサーバーよりも格安かつハイスペックで借りられるので、気になる方はこちらもどうぞ!