技術記録帖

調べて、整えて、残す

実装と運用の記録

技術記録帖
技術記録帖 技術情報を、読み返しやすい形に整えて残す技術サイト
サーバー セキュリティ 公開日 2026.04.03 更新日 2026.04.03

Linuxサーバーの初期設定で最初にやることは?見直したい項目を実務目線で整理

Linux サーバーを立てた直後に、まず何を確認し、どこまで設定しておくと後から困りにくいかを、実務目線で整理した記事です。

先に要点

  • Linux サーバーの初期設定は、`とりあえずアプリを入れる前に、入口・更新・権限・ログを整える` のが基本です。
  • 特に最初に見直したいのは、SSH の入り方、管理ユーザー、sudo 権限、ファイアウォール、自動更新、バックアップ方針です。
  • Fail2ban は便利ですが、`まず鍵認証とファイアウォール` が先です。順番を逆にすると、やった感の割に守りが弱くなりやすいです。
  • 最初の設定で大事なのは、項目数を増やすことより `あとで自分が見直せる形で残すこと` です。

Linux サーバーを立てたけど、最初に何から触ればいいか分からない という場面はかなり多いです。
実際、VPSクラウドで新しいサーバーを作るのはすぐでも、公開前に最低限どこまで整えておくべきかは迷いやすいです。

このページでは、2026年4月4日時点で Ubuntu Server の OpenSSHFirewall、User management、Automatic updates の公式ドキュメント、Debian Wiki の unattended-upgradesFail2ban 公式リポジトリの案内を確認しながら整理しています。
サーバーの選び方から見たい場合は、クラウド、VPS、レンタルサーバーの違いは?コスパ比較と実務での使い分けを解説 もつながりやすいです。

最初に考えたい前提

Linux サーバーの初期設定は、全部を完璧にやる話ではありません。
まずは 外からどう入るか更新をどう回すかどの通信を通すか何かあったときに戻せるか を整えるのが先です。

逆に、最初からアプリだけ入れて公開し、あとでSSHや更新やログを見直そうとすると、だいたい後回しになります。
そのまま本番に残ると、事故が起きたときに「どこから直せばいいか分からない」状態になりやすいです。

まず確認したい項目一覧

先に全体像だけ並べると、この順がかなり実務向きです。

  1. OS とパッケージを最新化する
  2. 管理用ユーザーと sudo を整える
  3. SSH を鍵認証前提に見直す
  4. ファイアウォール を入れる
  5. 自動更新をどう回すか決める
  6. ログと時刻設定を確認する
  7. バックアップ復元手順を決める
  8. 必要なら Fail2ban を追加する

この順にしているのは、途中で自分を締め出しにくくするためです。
特に SSHファイアウォールは順番を雑にすると、普通に入れなくなります。

1. まず OS とパッケージを最新化する

新しく立てたサーバーは、イメージ作成時点の状態から時間が経っていることがよくあります。
公開前に、まず更新状況を見ます。

Ubuntu / Debian 系なら、最初にやることはかなり素直です。

sudo apt update
sudo apt upgrade

ここで大事なのは、アプリを入れる前にまず土台を上げる ことです。
あとから大量に入れたあとでまとめて更新すると、どの差分で何が変わったか追いにくくなります。

実務では、初期セットアップ直後に更新したうえで、再起動が必要かも見ておくと後で楽です。

2. 管理用ユーザーと sudo を整える

いきなり root だけで触り続けるのは避けた方が安全です。
Ubuntu の公式ドキュメントでも、管理用 root アカウントはデフォルトで無効になっていて、通常ユーザー + sudo の形が前提です。

基本はこうです。

  • 普段触る管理ユーザーを分ける
  • 必要なときだけ sudo を使う
  • 誰が何をしたか追いやすくする

たとえば Ubuntu 系なら、管理ユーザーを作って sudo グループへ入れる流れが一般的です。

sudo adduser adminuser
sudo usermod -aG sudo adminuser

実務では、とりあえず root のまま より、管理ユーザーを分けて sudo に寄せる 方が後で見直しやすいです。

3. SSH は鍵認証を前提に見直す

公開サーバーで最初に見直したい入口は SSH です。
Ubuntu の OpenSSH ガイドでも、sshd_config.d のスニペットで設定を分けるやり方が案内されています。

まずやりたいのはこのあたりです。

  • 公開鍵ログインを使う
  • パスワード認証を残すか慎重に判断する
  • root ログインの扱いを確認する
  • 設定変更後は sshd -t で確認する

よくある流れはこうです。

  1. 先に管理ユーザーへ公開鍵を入れる
  2. 別セッションで鍵ログインできることを確認する
  3. その後にパスワード認証や root ログインの扱いを見直す

この順を逆にすると、かなり危ないです。
設定は強くしたけど自分も入れなくなった は本当によくあります。

実際のやり方をざっくり書くと

mkdir -p ~/.ssh
chmod 700 ~/.ssh
echo "公開鍵" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

そのうえで、必要なら PasswordAuthenticationPermitRootLogin を見直します。
ただし、変更前に必ず 別セッションで入れること を確認した方が安全です。

4. ファイアウォールは最小限から入れる

Linux サーバーは、必要な通信だけ通す形にした方が後で事故りにくいです。
Ubuntu Server の公式でも、デフォルトのファイアウォール設定ツールとして UFW が案内されています。

最初はこう考えると分かりやすいです。

  • SSH 用のポートだけ許可
  • Web を出すなら 80 / 443 だけ追加
  • 使っていないポートは開けない

たとえば UFW なら、

sudo ufw allow OpenSSH
sudo ufw enable
sudo ufw status

のような流れが入口になります。
ここも SSH の許可を入れる前に有効化すると危ないので、順番が大事です。

5. 自動更新をどう回すか決める

公開サーバーでは、更新を 気づいたときだけ手でやる 状態にしない方が安全です。
Ubuntu Server の Automatic updates ガイドや Debian の unattended-upgrades でも、自動更新の考え方が整理されています。

ただし、自動更新は 全部自動なら安心 でもありません。
実務では、少なくとも次を決めておきたいです。

  • セキュリティ更新だけ自動にするか
  • 通常更新も自動にするか
  • 再起動が必要なときどうするか
  • ログをどこで見るか

Ubuntu / Debian 系では、unattended-upgrades がよく使われます。
小規模でも、最低限セキュリティ更新の自動化はかなり相性がいいです。

6. 時刻とログを確認する

初期設定の段階で地味に大事なのが、時刻とログです。
障害調査や攻撃調査で、ログ時刻がずれているとかなりつらいです。

サーバーを立てたあと、監視をどこまで入れるべきか、死活監視ログ監視通知設計をどう分けて考えるべきかを整理したい場合は、監視はどこまで必要?死活監視・ログ監視・通知設計の基本を実務目線で解説 もあわせて読むとつながりやすいです。

見ておきたいのはこのあたりです。

  • タイムゾーン
  • NTP 同期
  • 認証ログ
  • アプリログとシステムログの置き場所

サーバーを触り始めた直後はアプリがまだ少ないので、どこに何が出るか を覚えるにはむしろ良いタイミングです。

7. バックアップ復元手順を先に決める

バックアップは、アプリを本格投入してから考えると遅れやすいです。
最初の段階で、最低限これだけは決めたいです。

ポイントは、取っている だけで満足しないことです。
小規模でも、一度は復元手順を自分でメモにしておく方が後で助かります。世代数の考え方や、実際にどんな順で戻すかは、バックアップは何世代必要?実務で多い考え方・復旧確認・具体的な戻し方を解説 にまとめています。

8. Fail2ban は必要な場面で追加する

Fail2ban は、認証失敗を繰り返すIPを一定時間遮断する仕組みです。
便利ですが、順番としては 鍵認証とファイアウォールの後 に見る方が自然です。

Fail2ban の公式でも、弱い認証のリスクを完全になくせるわけではないと案内されています。
つまり、Fail2ban は補助です。

向いている場面はこのあたりです。

  • SSH を公開している
  • ログイン試行が多い
  • Apache や認証付き管理画面を持っている

逆に、鍵認証もせずポートも開けっぱなしのまま Fail2ban 入れたから安心 は危ない考え方です。

実際のやり方を短くまとめると

公開前の最小セットなら、まずはこの流れでかなり十分です。

  1. apt update && apt upgrade
  2. 管理ユーザー作成と sudo 設定
  3. SSH 鍵認証確認
  4. UFW などで必要ポートだけ許可
  5. unattended-upgrades など更新方針を決める
  6. ログと時刻設定を確認
  7. バックアップの置き場と復元手順を決める
  8. 必要なら Fail2ban を追加

このくらいでも、何も考えずに立てたサーバーよりかなり安定します。

よくある失敗

よくある失敗

SSH の鍵ログイン確認前にパスワード認証を切る、ファイアウォールで SSH を許可する前に有効化する、自動更新を入れたのに再起動やログの見方を決めていない、という順番ミスはかなり多いです。初期設定は項目数より順番が大事です。

特にやりがちなのはこのあたりです。

  • root のまま作業を続ける
  • 設定変更後の接続確認をせずに閉じる
  • 使わないポートを開けたままにする
  • バックアップなしで公開する
  • 設定をメモに残さない

まとめ

Linux サーバーの初期設定で大事なのは、アプリを入れる前に 入口・更新・権限・ログ・復元 を整えることです。
最初に全部盛りを狙う必要はありませんが、SSHsudoファイアウォール自動更新バックアップはかなり優先度が高いです。

迷ったら、自分が入り続けられるか勝手に更新が止まらないか不要な通信を通していないか戻せるか の4つから見直すと整理しやすいです。

参考情報

あとで見返すならここで保存

読み終わったあとに残しておきたい記事は、お気に入りからまとめて辿れます。