こんにちは。情シス先輩です。
今回は自宅ラボ代わりとして活用できるVPS(仮想専用サーバー)を初めて契約してみた話をお届けします。
社内SEや若手エンジニアの皆さんの中には
- VPSは自宅ラボよりも便利なの?
- メール通知やVPNでラボを監視したいけどどう始める?
- 最小構成のVPSでもちゃんとセキュリティ対策はできる?
といった悩みや興味をお持ちの方も多いのではないでしょうか。
そんな方にとってVPSは「ちょうどいい技術の実験場」です。
僕自身も今回ConoHa VPSを使ってメール通知やVPN構成、スマホ連携の通知サーバー構築など、様々な検証を始めました。
この記事では
- なぜConoHaを選んだのか
- 実際にどんな契約プランにしたのか
- 初期設定でやっておきたいセキュリティ対策
など、VPSをはじめて使う方に向けた実践的な内容をお伝えします。
初めてのVPSにConoHaを選んだ理由と契約後にやったこと
なぜConoHaのVPSを選んだのか?
一番の理由はコストパフォーマンスの良さです。
- メモリ512MBプラン × 6か月契約→ 2,000円前後
- 今なら1か月あたり約330円。お試し用途には最適です。
- Ubuntuはメモリ1GB以上のプランが必要になりますが、3か月で約2,000円、6か月でも約3,300円と十分安価。
今回想定している用途は以下のように比較的軽量です
- Postfixでのメール送信環境構築
- ntfy / Gotifyを使ったスマホ通知の検証
- VPSから自宅ラボへのVPN接続(WireGuard)を通じた監視連携
ヘルプやGUIの充実よりも、自分で構築して学びたいタイプのエンジニアにとっては最低限の機能でコストを抑えられるConoHaは理想的な選択肢だと感じました。
ConoHa VPSをお得に始めるならこちらから
僕が使っているのはConoHaの512MBプラン(6か月一括契約)です。
今なら数百円から始められて自宅ラボ代わりにサーバー構築の練習ができるので本当におすすめです。公式サイトでは定期的にキャンペーンも行われているので、まずはチェックしてみてください。
OSはAlmaLinuxに決定
OSにはAlmaLinuxを選びました。
Ubuntuとはパッケージ管理コマンド(dnfとapt)などに違いがありますが、Postfixの構築やVPNの設定、ファイアウォールの制御といった基本的な操作においてはそれほど大きな差はありません。
Red Hat系に少し慣れていたこともあり今回はAlmaLinuxを選びましたが、Ubuntuでも同じような構成は十分可能です。
自分の慣れているディストリビューションを選ぶのが一番だと思います。
契約からログインまでの流れと初期設定
ConoHaのVPSは契約から数分でSSHログインできる状態になります。
手順としては
- プラン選択(今回は512MB、6か月)
- OS選択(AlmaLinux)
- SSH鍵 or パスワードの登録(鍵を推奨)
- IP払い出し →
ssh root@IPアドレスで接続
ログイン後、すぐに以下の基本的なセキュリティ対策を行いました
- 一般ユーザーを作成し
sudo権限を付与
adduser senpai
passwd senpai
usermod -aG wheel senpai- 公開鍵認証の設定
mkdir -p /home/senpai/.ssh
chmod 700 /home/senpai/.ssh
nano /home/senpai/.ssh/authorized_keys
chmod 600 /home/senpai/.ssh/authorized_keys
chown -R senpai:senpai /home/senpai/.ssh重要:この時点で一度 senpai ユーザーでSSHログインできることを確認してください。rootログインを禁止した後にログインできなくなると復旧が困難になります。
- SSHポートを22番から変更
vi /etc/ssh/sshd_config以下のように変更
Port 20222
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes設定を反映
systemctl restart sshd再接続確認:senpai ユーザーで、SSHの新ポート(20222)経由で公開鍵認証ログインできることを確認してください。PasswordAuthentication no にするとパスワードログインは無効になるため、公開鍵認証が正常に動作していないとログイン不能になります。
iptablesで以下の制限を適用INPUT:SSHの新ポートのみ許可。他はすべてブロックOUTPUT:戻りパケット(ESTABLISHED,RELATED)とHTTPS(443)のみ許可。
→ これにより意図しない外部通信(マルウェア等)を防止
# INPUTチェーン:SSHの新ポートのみ許可
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 20222 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# OUTPUTチェーン:戻り通信とHTTPSのみ許可
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# FORWARDは明示的に禁止
iptables -P FORWARD DROP注意:このiptables設定をSSH接続中にそのまま実行すると接続が切断される可能性があります。
特に iptables -P INPUT DROP の実行時点で許可ルールがまだ適用されていない場合、既存のSSHセッションがポリシーによって遮断されることがあります。
そのためConoHaのVNCコンソール(Webブラウザ上で直接操作できる管理画面)を使用して実行することを推奨します。
SSHで行う場合は必ず順序とタイミングに注意し、接続確認済みの新ポートを許可した後にポリシーを変更するようにしてください。
- iptablesの永続化(AlmaLinuxの場合)
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables
systemctl restart iptablesこのように必要最小限のサービスだけを許可する構成にすることで攻撃対象となる入口を可能な限り狭めることができます。
今後この環境上でメール通知やVPN監視、通知サービスなどを安心して構築できる土台が整いました。
高度なセキュリティ制限をしたい場合は?
上記のiptables制限だけでなくさらに接続範囲を限定したい場合には次のような方法も有効です。
- アップデートなどの必要時以外は HTTPSの通信も閉じておく
- squidなどのプロキシサーバーを導入し、ホワイトリスト制御を行う
dnfやアプリケーションの通信をすべてプロキシ経由に限定
このようにすることでVPS上からの不要な外部通信を限りなくゼロに近づけることができます。
万が一内部にマルウェアが仕込まれた場合にも外部C2通信のブロックにつながるため、本格運用や通知サーバー用途でも安心です。
このVPSでやりたいこと
このVPSは以下のような用途を想定しています
■ Postfixで独自ドメインのメール送信環境を構築
- GmailやiCloud宛でも迷惑メール扱いされないようSPF/DKIM/DMARCを含めて整備。
■ ntfy / Gotify を用いた通知サーバー
- ログ監視や死活監視などのアラートをスマホに通知。
■ 自宅ラボをVPN経由で監視
- VPSからWireGuardで自宅ラボに接続し死活監視やログの定期収集、通知との連携に活用。
次回予告:Postfixでメール送信サーバーを構築
次回の記事ではVPS上にPostfixを構築し独自ドメインで安定してメールを送信する方法を紹介します。
SPF・DKIM・DMARCのDNS設定方法や、Gmailでの受信確認手順なども詳しく解説する予定です。
VPS・自宅ラボ構築の参考にどうぞ
まとめ
ConoHa VPSは初期費用を抑えながらも実用的な学習環境が作れる最小構成のサーバーとして非常に優秀です。
実際に契約してみて「メール通知」「VPN接続」「監視・通知サーバーの連携」といった
実務に活きる技術をしっかり試せる場所として価値があると感じました。
これから自宅ラボと連携したシステムを作りたい方や実践で使えるインフラ技術を学びたい方は、
ぜひVPSを活用してみてください。
今すぐ始めたい方へ
僕が使っているConoHa VPSは低価格で自由度が高くインフラ学習に最適な環境です。
キャンペーン中ならとてもお得に始められるのでまずは公式サイトをチェックしてみてください。
