先に要点
Linux サーバーを立てたけど、最初に何から触ればいいか分からない という場面はかなり多いです。
実際、VPS やクラウドで新しいサーバーを作るのはすぐでも、公開前に最低限どこまで整えておくべきかは迷いやすいです。
このページでは、2026年4月4日時点で Ubuntu Server の OpenSSH、Firewall、User management、Automatic updates の公式ドキュメント、Debian Wiki の unattended-upgrades、Fail2ban 公式リポジトリの案内を確認しながら整理しています。
サーバーの選び方から見たい場合は、クラウド、VPS、レンタルサーバーの違いは?コスパ比較と実務での使い分けを解説 もつながりやすいです。
最初に考えたい前提
Linux サーバーの初期設定は、全部を完璧にやる話ではありません。
まずは 外からどう入るか、更新をどう回すか、どの通信を通すか、何かあったときに戻せるか を整えるのが先です。
逆に、最初からアプリだけ入れて公開し、あとでSSHや更新やログを見直そうとすると、だいたい後回しになります。
そのまま本番に残ると、事故が起きたときに「どこから直せばいいか分からない」状態になりやすいです。
まず確認したい項目一覧
先に全体像だけ並べると、この順がかなり実務向きです。
| 順番 | 項目 | 目的 |
|---|---|---|
| 1 | OS・パッケージの最新化 | 土台を最新にしてから始める |
| 2 | 管理ユーザーとsudo | rootのまま作業し続けない |
| 3 | SSH鍵認証 | パスワードだけの入口を見直す |
| 4 | ファイアウォール | 必要なポートだけ通す |
| 5 | 自動更新 | 更新忘れをなくす |
| 6 | 時刻・ログ | 障害調査に使える状態にする |
| 7 | バックアップ | 壊れても戻せるようにする |
| 8 | Fail2ban | 不正ログイン試行を抑える |
この順にしているのは、途中で自分を締め出しにくくするためです。
特に SSH とファイアウォールは順番を雑にすると、普通に入れなくなります。
1. まず OS とパッケージを最新化する
新しく立てたサーバーは、イメージ作成時点の状態から時間が経っていることがよくあります。
公開前に、まず更新状況を見ます。
Ubuntu / Debian 系なら、最初にやることはかなり素直です。
sudo apt update
sudo apt upgrade
ここで大事なのは、アプリを入れる前にまず土台を上げる ことです。
あとから大量に入れたあとでまとめて更新すると、どの差分で何が変わったか追いにくくなります。
実務では、初期セットアップ直後に更新したうえで、再起動が必要かも見ておくと後で楽です。
2. 管理用ユーザーと sudo を整える
いきなり root だけで触り続けるのは避けた方が安全です。
Ubuntu の公式ドキュメントでも、管理用 root アカウントはデフォルトで無効になっていて、通常ユーザー + sudo の形が前提です。
基本はこうです。
- 普段触る管理ユーザーを分ける
- 必要なときだけ sudo を使う
- 誰が何をしたか追いやすくする
たとえば Ubuntu 系なら、管理ユーザーを作って sudo グループへ入れる流れが一般的です。
sudo adduser adminuser
sudo usermod -aG sudo adminuser
実務では、とりあえず root のまま より、管理ユーザーを分けて sudo に寄せる 方が後で見直しやすいです。
3. SSH は鍵認証を前提に見直す
公開サーバーで最初に見直したい入口は SSH です。
Ubuntu の OpenSSH ガイドでも、sshd_config.d のスニペットで設定を分けるやり方が案内されています。
まずやりたいのはこのあたりです。
- 公開鍵ログインを使う
- パスワード認証を残すか慎重に判断する
- root ログインの扱いを確認する
- 設定変更後は
sshd -tで確認する
よくある流れはこうです。
- 先に管理ユーザーへ公開鍵を入れる
- 別セッションで鍵ログインできることを確認する
- その後にパスワード認証や root ログインの扱いを見直す
この順を逆にすると、かなり危ないです。
設定は強くしたけど自分も入れなくなった は本当によくあります。
実際のやり方をざっくり書くと
mkdir -p ~/.ssh
chmod 700 ~/.ssh
echo "公開鍵" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
そのうえで、必要なら PasswordAuthentication や PermitRootLogin を見直します。
ただし、変更前に必ず 別セッションで入れること を確認した方が安全です。
4. ファイアウォールは最小限から入れる
Linux サーバーは、必要な通信だけ通す形にした方が後で事故りにくいです。
Ubuntu Server の公式でも、デフォルトのファイアウォール設定ツールとして UFW が案内されています。
最初はこう考えると分かりやすいです。
- SSH 用のポートだけ許可
- Web を出すなら 80 / 443 だけ追加
- 使っていないポートは開けない
たとえば UFW なら、
sudo ufw allow OpenSSH
sudo ufw enable
sudo ufw status
のような流れが入口になります。
ここも SSH の許可を入れる前に有効化すると危ないので、順番が大事です。
5. 自動更新をどう回すか決める
公開サーバーでは、更新を 気づいたときだけ手でやる 状態にしない方が安全です。
Ubuntu Server の Automatic updates ガイドや Debian の unattended-upgrades でも、自動更新の考え方が整理されています。
ただし、自動更新は 全部自動なら安心 でもありません。
実務では、少なくとも次を決めておきたいです。
- セキュリティ更新だけ自動にするか
- 通常更新も自動にするか
- 再起動が必要なときどうするか
- ログをどこで見るか
Ubuntu / Debian 系では、unattended-upgrades がよく使われます。
小規模でも、最低限セキュリティ更新の自動化はかなり相性がいいです。
6. 時刻とログを確認する
初期設定の段階で地味に大事なのが、時刻とログです。
障害調査や攻撃調査で、ログ時刻がずれているとかなりつらいです。
サーバーを立てたあと、監視をどこまで入れるべきか、死活監視、ログ監視、通知設計をどう分けて考えるべきかを整理したい場合は、監視はどこまで必要?死活監視・ログ監視・通知設計の基本を実務目線で解説 もあわせて読むとつながりやすいです。
見ておきたいのはこのあたりです。
- タイムゾーン
- NTP 同期
- 認証ログ
- アプリログとシステムログの置き場所
サーバーを触り始めた直後はアプリがまだ少ないので、どこに何が出るか を覚えるにはむしろ良いタイミングです。
7. バックアップと復元手順を先に決める
バックアップは、アプリを本格投入してから考えると遅れやすいです。
最初の段階で、最低限これだけは決めたいです。
- 何をバックアップするか
- どこへ置くか
- 何世代残すか
- どう戻すか
ポイントは、取っている だけで満足しないことです。
小規模でも、一度は復元手順を自分でメモにしておく方が後で助かります。世代数の考え方や、実際にどんな順で戻すかは、バックアップは何世代必要?実務で多い考え方・復旧確認・具体的な戻し方を解説 にまとめています。
8. Fail2ban は必要な場面で追加する
Fail2ban は、認証失敗を繰り返すIPを一定時間遮断する仕組みです。
便利ですが、順番としては 鍵認証とファイアウォールの後 に見る方が自然です。
Fail2ban の公式でも、弱い認証のリスクを完全になくせるわけではないと案内されています。
つまり、Fail2ban は補助です。
向いている場面はこのあたりです。
- SSH を公開している
- ログイン試行が多い
- Apache や認証付き管理画面を持っている
逆に、鍵認証もせずポートも開けっぱなしのまま Fail2ban 入れたから安心 は危ない考え方です。
実際のやり方を短くまとめると
公開前の最小セットなら、まずはこの流れでかなり十分です。
apt update && apt upgrade- 管理ユーザー作成と sudo 設定
- SSH 鍵認証確認
- UFW などで必要ポートだけ許可
- unattended-upgrades など更新方針を決める
- ログと時刻設定を確認
- バックアップの置き場と復元手順を決める
- 必要なら Fail2ban を追加
このくらいでも、何も考えずに立てたサーバーよりかなり安定します。
よくある失敗
SSH の鍵ログイン確認前にパスワード認証を切る、ファイアウォールで SSH を許可する前に有効化する、自動更新を入れたのに再起動やログの見方を決めていない、という順番ミスはかなり多いです。初期設定は項目数より順番が大事です。
特にやりがちなのはこのあたりです。
- root のまま作業を続ける
- 設定変更後の接続確認をせずに閉じる
- 使わないポートを開けたままにする
- バックアップなしで公開する
- 設定をメモに残さない
まとめ
Linux サーバーの初期設定で大事なのは、アプリを入れる前に 入口・更新・権限・ログ・復元 を整えることです。
最初に全部盛りを狙う必要はありませんが、SSH、sudo、ファイアウォール、自動更新、バックアップはかなり優先度が高いです。
迷ったら、自分が入り続けられるか、勝手に更新が止まらないか、不要な通信を通していないか、戻せるか の4つから見直すと整理しやすいです。
参考情報
- Ubuntu Server Documentation: OpenSSH server
- Ubuntu Server Documentation: Firewall
- Ubuntu Server Documentation: User management
- Ubuntu Server Documentation: Automatic updates
- Ubuntu Server Documentation: Security suggestions
- Debian Wiki: UnattendedUpgrades
- Fail2ban: fail2ban/fail2ban