セキュリティ強化ガイド

AI サーバーを悪党の ATM にするな

デプロイは難しくない、でもセキュリティを忘れるな

多くの人がサービス起動後も、ポート露出・パスワード 123456 状態。人にスキャン発見・サーバー採掘に使われて初めて後悔、事前セキュリティ強化すればよかった。

この記事は高度なセキュリティ理論は講座しない、ただ実践的なやり方だけ、30 分で完成、セキュリティレベルが上がる。

一般的セキュリティリスク

['ポートが公開ネットに直接露出、誰もがアクセス可能', 'root アカウントでサービスを実行、問題があれば大惨事', 'SSH はまだパスワードログインで、ブルートフォースは数秒', 'ファイアウォールを開いていない、すべてのポートが大門開放', 'API Key をコード内にハードコード、GitHub に push したら漏洩', 'システムを更新したことなし、既知の脆弱性がいっぱい']

完全なセキュリティ強化方案

['SSH キーログイン + パスワードログイン禁止', 'UFW ファイアウォール必要なポートのみ放行', 'Fail2ban ブルートフォース IP 自動ブロック', 'Docker コンテナセキュリティ隔離', '定期的なシステム更新 + 自動セキュリティパッチ']

第一歩：SSH 鍵ログイン

パスワードログインは最大セキュリティリスク。SSH 秘密鍵使用で、ブルートフォース攻撃無効。

ローカルマシンで秘密鍵を生成

# SSH キーペアを生成（Enter キーを押し続けるだけ）

サーバーでパスワードログインを無効化

# SSH 設定を編集

第二歩：ファイアウォール設定

UFW は Ubuntu に組み込まれたファイアウォールツール、シンプルで使いやすいです：

UFW ファイアウォール設定

# すべてのインバウンドを拒否

第三歩：Fail2ban ブルートフォース攻撃防止

Fail2ban はログインログを監視し、誰かが連続でパスワードを間違え入力するのを検出したら自動的に IP をブロック：

Fail2ban をインストール・設定

# インストール

第四歩：Docker セキュリティ設定

コンテナは本質的セキュアでなく、パラメータ数個追加で多くの脆弱性塞げる：

docker-compose.yml セキュリティ設定

services:
  openclaw:
    image: openclaw/openclaw:latest
    security_opt:
      - no-new-privileges:true
    read_only: true
    tmpfs:
      - /tmp
      - /var/tmp
    deploy:
      resources:
        limits:
          cpus: "2.0"
          memory: 2G
    environment:
      - OPENCLAW_API_KEY_FILE=/run/secrets/api_key
    secrets:
      - api_key

secrets:
  api_key:
    file: ./secrets/api_key.txt

セキュリティ強化フロー完結

SSH キーログイン

秘密鍵ペア生成、公開鍵アップロード、パスワード・ルート直接接続無効化。

ファイアウォール有効化

UFW で不要なポートをすべて閉じ、SSH、HTTP、HTTPS だけを開ける。

Fail2ban ブルートフォース防止

ログイン失敗を複数回繰り返す IP を自動的にブロック、ログを毎日見なくても大丈夫。

Docker 隔離

コンテナの権限とリソースを制限、秘密情報は secrets で管理。

定期更新

自動セキュリティ更新有効化、または最低限毎週 apt upgrade 手動実行。

🚨 API Key をコードか docker-compose.yml ハードコード絶対禁止。環境変数か Docker Secrets で管理。GitHub プッシュしたら秒でボット検出盗用。

セキュリティ比較さらに知りたい？このページ参照：各プラットフォームセキュリティ比較

MOLILI には企業レベルのセキュリティソリューションが組み込まれており、ファイアウォール、キー管理、自動アップデートがすべて事前設定されています、ゼロ設定ですぐに使用できます。 MOLILI を理解 →

このチュートリアルはあなたに役に立った？