予告

そのうち、手動ではなくAnsibleのYAMLコードで管理する記事を上梓いたします。

課題

単価が計算できるかたちで（つまり従量課金制度ではなく）、できるだけ自由な構成や設定でWebサーバーを建てたい。

概要（手続き）

細かいことはたくさんありますが、マクロでとらえるとけっこうシンプルです。

リモートコンピューターリソースを購入する（XServerでVPSを購入する）
OSと、Webサーバー用のソフトと、ウェブ向きのスクリプト言語と、データベースソフトを入れる
それらの設定ファイルがつなぎあわさるようにディレクトリの配置やパスを調整する
それぞれのファイルの権限を適切にコントロールする
それらをOS（Linux）のやりかたでやる
必要があれば外部アプリからアクセスできるようにする

ローカル作業環境

ローカルパソコンOS：macOS

$ sw_vers
# ProductName:		macOS
# ProductVersion:	15.3.1
# BuildVersion:		24D70

$ system_profiler SPHardwareDataType
# Model Name: MacBook Air
# Chip: Apple M2
# Memory: 8 GB

購入したVPS環境

プロバイダー：XServer VPS
OS: AlmaLinux9.5
CPU：3コア
メモリ：2GB
NVMe SSD：50GB

サーバー選定理由

2GBのメモリ単価が1000円前後で、AlmaLinuxの最新版が安定稼働してくれて、変な設定からスタートさせられないならどこでもよいのですが、XServerはDifyについていちはやくセット組んだり、ゲーミングのほうにちからをいれているので、プロジェクトと相性がよくて選びました。

プロジェクト自体をAWSの世界観に染めていく予定なら、Amazon LightailやAmazon Linux系にすると思います。

ほんとうは純ジャパのさくらを使いたいんですけど、選択肢の想起筆頭に来るか来ないかで言えば、来ない、という印象です。

とくに今回さくらのVPSを外したのは、SELinuxというセキュリティ設定が無効からスタートさせられるうえに、サポートやPAAセクション串刺し検索をしても情報が1件も出てこなかったのがすこし気になって積極的にはおすすめしない方針にしました。（とはいえ、じぶんもSELinuxうまく使えていないのでたいそうなことは言えませんが、、、）

ちなみに、さくらインターネットには「さくらのクラウド」というサービスがあり、最近（25年3月執筆時）は「AppRun」というサービスもベータ試験的にはじまっており、選択肢としてアリだと思います。

前提としている知識

ターミナル操作

LinuxやLinuxコマンド基本操作

わざわざWebサーバーをたててだいたい何に使うか

変数の読み替え

※{email}や{password}とあったら、じぶんの入れたいメールアドレスやパスワードに置き換えて実行できる

前提知識について補足

ドルマーク表記について

下記の記事は、VPS初心者のかたの記録です。コマンドコピペは1行ずつ、『＄』の次からと心得ましょう。などの暗黙知的なことが書かれていました。

今回の記事は、コマンドの先頭にドルマーク$をつけております。コマンドであることを強調するために添えてあるだけなので、実際にターミナルやコマンドラインで利用するさいは、ドルマークを無視して、一行ごとに実行していただければさいわいです。

差分表記について

また、コードを示しているパートで、緑系の色で「+」となっていたり、赤系の色で「-」と行頭に書いてあることがあります。これは差分表記で、プラスマークのほうが変更後、マイナスマークのほうが変更前です。

下記、デモです。

+ この記述を追記してください
- この記述は削除してください

+ あくまで差分なので、性質上逆転することもあります
- たとえば、この行はもともと表示されていた行なのに、
+ ## このように変更後は非表示にしたいのでコメントアウトすることもあります。

リモート/ローカルでの作業について

また、すべてはリモートサーバー、つまり購入したVPSのAlmaLinuxのなかにログインした状態での操作になります。あとで出てきますが、ssh -i ~/.ssh/xserver_{root_keyname} root@{ipaddress}こういうコマンドで、Linuxにログインしたあとの状態ということです。

それ以外の、ログインしていない状態でやらなきゃいけない作業が1ミリほど出てきますが、それについては「ローカルで」という補足をつけております。ローカルというのは、手元のパソコンということです。リモートというのは、手元にはない、今回購入したはずのどこかにあるコンピューターのことです。

初心者のかたでわかりづらかったら積極的にDMください

初心者のかたで、わかりづらいことがあったら、TwitterでDMとかしていただけるとありがたいです。

https://x.com/jun_philos

今回の構成

ドメインまわり：Cloudflare
OS：AlmaLinux 9系
Webサーバー：Nginx
データベース：MySQL

ドメインまわりをCloudflareにすると世界観かわるのでおすすめです。以前はGMOのムームードメインをつかっていましたが、サービス維持費が高騰してきたので、原価で買えるCloudflareに移管しました。

使用するアプリ

ブラウザ：Firefox
エディター：Cursor
テーミナル：Warp / Terminus
FTP：Transmit5
DB：Sequel Pro / DBeaver

DBをブラウザでさわりたい場合は、「phpMyAmin」や「Adminer」がおすすめです。

VPSとは

「Virtual Private Server」のことで、バーチャルのプライベートのサーバーのことです。IT業界におけるバーチャルというのは「事実上の」という意味で使われることがおおいので、事実上はプライベート（専用）なんだな、というニュアンスで考えてだいじょうぶです。

物理的なサーバーは1台ですが、そのコンピューターのなかに事実上の占有サーバーを何台もつくっていて、それをひとつ借りている、というところです。

非常に自由な設定が可能な分、セキュリティや安定性のチェック、運用、保守が大変です。整備された状態でコンピューターを借りたい場合は、いわゆる「マネージドサーバー」や「レンタルサーバー」というサービスを購入するのがおすすめです。

たとえば、さくらでは8000円弱から「さくらのマネージドサーバ」というサービスを展開しています。XServerも、マネージドのVPSを2万円程度から展開しています。

さくらのレンタルサーバーとマネージドサーバー

XServerのレンタルサーバーとフルマネージド型サーバー

あるいは、たとえばWordPressをコンテナとして、Google Cloud Runでサーバーレスにデプロイして動かすとかもありだと思います。

ホスティングサービスの印象

ある程度の理解のために、私の印象を記載しておきます。厳密性はかなり欠けていますので、導入の理解だけにとどめておいてください。

名称	説明
ホスティングサービス	総称
静的ホスティングサービス	無料もある静的コンテンツ蔵置場所として借りるリソース
レンタルサーバー	定額のじぶんで管理できない小規模シェア型リソース
マネージドサーバー	定額のプロバイダー管理型で各規模占有リソース
VPS	定額のじぶんで管理できる（する必要がある）小〜中規模バーチャル占有リソース
クラウド	従量課金型の自分で管理できる（必要がある）スケーラブルなバーチャルリソース
サーバーレス	従量課金型のじぶんで管理できない（見えもしない）バーチャルリソース
FaaS	サーバレスでさらに関数単位で実行できるバーチャルリソース

購入

サイトにアクセス

下記記事「【簡単】エックスサーバーVPS（XServer VPS）の申し込み方法」がスクリーンショット豊富でわかりやすいと思います。

会員登録
申し込み（2GB以上がおすすめ）
OS選択（AlmaLinux9）
公開鍵認証でログインを選択する（パスワードログインは拒否する）

ここでつくった鍵のことをxserver_{root_keyname}とします。鍵のつくりかたは、下記の記事などを参考にしてください。ローカルの環境でつくれます。macOSの場合は~/.sshに鍵が生成されます。非表示ファイルを表示できる設定に変更して、中身を開けるようにしてください。

サーバーの情報をどこかにメモする
コントロールパネルからサーバーを起動する

ターミナルからSSHできるように「パケットフィルター設定」を変更

「SSH」「Web」「MySQL」「メール」あたりのパケットフィルタリングを追加。使うものに合わせて最低限にしてください。着信したパケットを通過させるかどうかざっくり決めています。

必要な情報をメモっておく

「1Password」などのキーマネジメントアプリを使っているかたは、断然そちらにストックします。

memo.txt

[独自ドメイン]
DOKUJI_DOMAIN={dokuji_domain}

[XServerサービスアカウント]
XServerログインID：{email}
XServerログインパスワード：{password}
VPSコントロールパネル：https://secure.xserver.ne.jp/xapanel/xvps/index

[サーバー]
OS: AlmaLinux9.5
RAM: 2GB
SSD: 500GB
HOSTNAME: {hostname}
IPADDRESS: {ipaddress}
IPADDRESS_V8: 

[サーバー root]
USERNAME: root
SSH_KEY: ~/.ssh/xserver_{root_keyname}.pem

[サーバー user]
USERNAME: {username}
SSH_KEY2: ~/.ssh/xserver_{username_keyname}.pem

[mysql root]
USERNAME: root
PASSWORD: {root_database_password}

[mysql user]
USERNAME: {database_username}
PASSWORD: {database_password}

ログインする

鍵をつくって、パケットフィルタリングにSSHをいれて、IPアドレスが確認できたら、さっそくログインします。ターミナルをひらいて、以下のsshコマンドを打ちます。

# 念のためパスワードログインは拒否されることを確認
$ ssh root@{ipaddress}
root@{ipaddress}: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

# 認証鍵をつかってsshでログインする
$ ssh -i ~/.ssh/xserver_{root_keyname} root@{ipaddress}

# yesと答える（~/.ssh/known_hostsというファイルに保存されます。なりすましの防止です。）
# 詳しく知りたい場合は「中間者攻撃・MITM攻撃 フィンガープリント」などで調べてください
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

# ログイン確認
$ sudo whoami
root

$ sudo who
root     pts/0        2025-03-18 13:59

# OS確認
$ sudo cat /etc/redhat-release
AlmaLinux release 9.5 (Teal Serval)

# 時間
$ sudo date
Thu Mar 20 07:05:21 PM JST 2025

$ sudo timedatectl
Local time: Thu 2025-03-20 19:06:11 JST
Universal time: Thu 2025-03-20 10:06:11 UTC

nanoエディターをインストールする

基本はviエディター、Vimエディターが梱包されていますが、入門時は少し抵抗があると思うので、nanoというエディターを取り入れます。

$ sudo dnf install nano -y
$ sudo nano --version
GNU nano, version 5.6.1

じぶんの使いやすいエディターがいちばんいいですね。

ついでに環境変数側もnanoにしてしまいます。ファイルの末尾にexport EDITOR=nanoと入れてください。

$ sudo nano ~/.bashrc

+ export EDITOR=nano

エディターの閉じ方は以下の手順です。

control + X（エディターモードを終了するショートカットキー）
Y（ファイル名を聞かれているのでそのまま保存）
エンターキー（エディターから解放）

更新反映します。

$ source ~/.bashrc
$ sudo echo $EDITOR
nano

コマンド補完パッケージ

tabキーを押すと補完してくれるようになるツールです。タイプミスがなくなるのでおすすめです。

$ sudo dnf install -y bash-completion
$ source /etc/profile.d/bash_completion.sh

DNFの更新

DNFというのは、「Dandified Yum（ダンディファイド・ヤム）」と呼ばれているパッケージ管理ソフトです。Fedora系をふくむRHEL（Red Hat Enterprise Linux）系のディストリビューションで使うものです。

もともとYUM（Yellowdog Updater Modified）というのがあったのですが、ベースのPythonのメジャーバージョンに対応するかたちで新生しました。

基本的にいつもパッケージを最新化しておくほうがよいです。セキュリティ、バグ、新機能などなどいろいろあるので、重要なコマンドです。

# （任意）アップグレードの確認
$ sudo dnf check-update

# アップグレード実行
$ sudo dnf upgrade -y

-yオプションを入れることで、確認作業をスキップできます。-yは、ほんとうは--assumeyes（すべてをYesとみなして実行する）というオプションですが、その省略文字です。逆オプションは--assumenoです。

似たようなコマンドにdnf updateというコマンドもありますが、dnf upgrade側をやっておけ　だいじょうぶです。

（開発環境のみ）DNF自動更新

自動更新もあるので、開発環境で必要があればインストールします。

$ sudo dnf install dnf-automatic -y

自動適用したいときはここの設定をyesにします。

$ sudo nano /etc/dnf/automatic.conf

- apply_updates = no
+ apply_updates = yes

常に有効にします。

$ sudo systemctl start dnf-automatic.timer
$ sudo systemctl enable dnf-automatic.timer

（さくらのVPSやAmazon Linuxなどの場合）SELinuxの有効化

「Security-Enhanced Linux」の略で、強制アクセスコントロールのためのモジュールです。機能の詳細は、REDHの「SELinuxの使用」を御覧ください。

入門記事を書いてくださっているかたもいました。

SELinuxを導入するかどうか、かなり賛否両論あるテーマだと思います。ここでは争点をスキップして、導入をすすめることにします。

まず有効になっているかどうか、現状の確認をします。

$ sudo getenforce
Enforcing

XServer VPSではEnforcingと表示されると思います。表示OKだったらこの章はここでスキップしてください。最近のLinuxでは最初から有効になっていると思います。

さくらのVPSはDisabled、Amazon LinuxではPermissiveになっているので、以下の作業をしていきます。

さくらのVPSの場合

$ sudo nano /etc/sysconfig/selinux

- SELINUX=disabled
+ SELINUX=permissive

まずはpermissiveに更新できたら、selinux系の引数を初期化するコマンドを叩きます。

さくらのVPSの場合

$ sudo grubby --update-kernel ALL --remove-args selinux
$ sudo reboot
ログアウト

$ ssh -i ~/.ssh/xserver_{root_keyname} root@{ipaddress}
$ sudo su
$ sudo getenforce
Permissive

$ sudo aureport -a
<no events of interest were found>

$ sudo nano /etc/sysconfig/selinux

- SELINUX=permissive
+ SELINUX=enforcing

ふたたびnanoエディターで設定ファイルを開きます。さっきpermissiveモードにしたところを、enforcingモードにします。これでようやく、SELinuxが有効になったことになります。

# 再起動
$ sudo reboot

// 再ログインする（ssh~）

# 確認
$ sudo getenforce
Enforcing

SELinuxの管理ツール

SELinuxのセキュリティ設定を確認・変更するためのパッケージをいれます。

$ sudo dnf install policycoreutils-python-utils -y

# ポリシーの確認
$ sudo semanage boolean -l
tftp_home_dir (off  ,  off)  Allow tftp to home dir

# セキュリティについて確認
$ sudo ls -Z /var/

policycoreutils-python-utilsは、SELinuxの管理ツールです。

semanage boolean -lは、SELinuxでどのなにが有効になってるのか無効になっているのか確認できるコマンドです。

ls -Z {filepath}は、そのファイルパスのセキュリティ事項について確認できます。あとでけっこう使います。設定できたはずなのになんかエラーが出るんだけど！というときに、だいたいSELinuxに捕まっているので、たとえばls -Z /var/www/htmlのようなことをして、通っているのか阻止されているのか見たりします。

ユーザーの追加

ここまでrootで作業してきましたが、原則的によくないことなのであたらしくユーザーを追加します。

OS（AlmaLinux9）をインストールするときに、パスワードログインを不能にしているので、公開鍵認証でログインできるようにディレクティブを変更します。

$ sudo nano /etc/ssh/sshd_config

- # PubkeyAuthentication yes
+ PubkeyAuthentication yes

sshdを再起動します。

# 構文テスト（エラーがなければなにも表示されません）
$ sudo sshd -t

# 再起動
$ sudo systemctl restart sshd

root権限が必要な作業を、rootアカウントではない作業用のアカウントで行えるようにします。

ここでは{username}という名前にしますが、じぶんの名前に読み替えてください。たとえば、わたしの名前ならjunにします。運用を考えている場合は、開発者用のアカウントとしてdeveloperとかでもいいと思います。

# 一般ユーザーをつくる
$ sudo useradd {username}

# .sshディレクトリをつくって所有者を変更する
$ sudo mkdir /home/{username}/.ssh
$ sudo chmod 0700 /home/{username}/.ssh
$ sudo chown {username}:{username} /home/{username}/.ssh

# 一般ユーザーとしてログインする
$ sudo su - {username}
$ ssh-keygen -t Ed25519 -b 4096 -C "{email_address}"

# /home/{username}/.ssh/id_rsaにつくるか聞かれるのでyes
# パスコードを聞かれるので何も入力せずにエンターキー

# authorized_keysにコピーする
$ cat /home/{username}/.ssh/id_rsa.pub >> /home/{username}/.ssh/authorized_keys
$ chmod 0600 /home/{username}/.ssh/authorized_keys

# pem形式のキーにする
$ ssh-keygen -p -m PEM -f /home/{username}/.ssh/id_rsa

# 秘密鍵をクリップボードにコピーする
$ cat /home/{username}/.ssh/id_rsa
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

が出てくるのですべてコピーしてください

別のタブでローカルのターミナルをひらいて、鍵の内容を反映する。

ローカルファイル

$ touch ~/.ssh/xserver_{username_keyname}.pem

# ~/.ssh/xserver_{username_keyname}.pemをお好きなエディターで開いて、先ほどコピーした鍵をペースト

wheelグループを有効にする

PAM（Pluggable Authentication Modules）と呼ばれる権限モジュールの更新作業です。シャープがついてコメントアウト状態になっているので、それを有効に戻します。

$ exit
$ sudo nano /etc/pam.d/su

- # auth sufficient pam_wheel.so trust use_uid
+ auth sufficient pam_wheel.so trust use_uid

- # auth required pam_wheel.so use_uid
+ auth required pam_wheel.so use_uid

wheelユーザーを確認

現在のwheelユーザーを確認。先ほどつくった{username}のアカウントがまだ登録されていないことを確認します。下記コマンドはwheelグループだけ抜き出していますが、ほかのグループも見たいときは$ sudo cat /etc/groupの部分だけでもだいじょうぶです。

$ sudo cat /etc/group | grep wheel
wheel:

# rootに移動しようとすると権限の不一致で弾かれるのを確認
$ sudo su {username}
$ su root
$ su -
Permission denied
↑拒絶されるのが正常系です

# rootに戻る
$ exit

wheelアカウントでパスワードを聞かれないようにします（認証鍵のみを使います）。visudoは構文チェックしながら編集できるコマンドで、viエディターが立ち上がります。

＜viエディターの更新方法＞

なにかを入力するとINSERTという編集モード突入
上下左右キーで移動してコメントアウト部分を変更
escキーでINSERTモードから脱出
:qaというショートカットキーで保存し、そのままviエディターから脱出

どうしてもviエディターがむずかしい場合は、$ sudo nano /etc/sudoersとしてもいいと思います。

# sudoersの更新
$ sudo visudo

- # %wheel ALL=(ALL) NOPASSWD: ALL
+ %wheel ALL=(ALL) NOPASSWD: ALL

+ # ログ
+ Defaults log_input, log_output
+ Defaults logfile=/var/log/sudo.log
+ Defaults maxseq = 1000

XServer VPSの初期設定だとログの設定が書いてなかったので、ついでに追記しておきました。ログというのは、sudoを使ったときに使用履歴を/var/log/sudo.logに残すということです。rootユーザーを回避するのは、こういったログチェックの目的もあります。

nanoでやったかたは構文チェックが未チェックなので、下記のコマンドでチェックを入れてください。visudoで編集したひとは不要です。

$ sudo visudo -c
/etc/sudoers: parsed OK

先ほどのアカウントをwheelアカウントとして追加して、あらためて確認します。

$ sudo usermod -aG wheel {username}
$ sudo cat /etc/group | grep wheel
wheel:x:10:{username}

$ sudo su {username}
$ sudo su
↑今回は成功します（先ほどはパスワードを聞かれてエラーになってたところ）

パスワードなしで、{username}とrootを行き来できるようになりました。

権限持ちのユーザーが完成したので、次は、rootでダイレクトにログインできないようにします。以下の設定に書き換えます。

$ sudo nano /etc/ssh/sshd_config

- PermitRootLogin prohibit-password
+ PermitRootLogin no

sshdの再起動。

$ sudo sshd -t
$ sudo systemctl restart sshd

試しにrootでログインを試みてみます。

$ sudo reboot
The system will reboot now!

$ ssh -i ~/.ssh/xserver_{root_keyname}.pem root@{ipaddress}
root@{ipaddress}: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

ちゃんと失敗しました。

$ ssh -i ~/.ssh/xserver_{username_keyname}.pem {username}@{ipaddress}
$ sudo su

上記のように、{username}で、そっちでつくった鍵でログインし、sudo suでrootにいけるのでどうしてもrootじゃないといけない作業は、この移動方法でユーザー移動し、基本は{username}側で必要に応じてsudoをつけて作業してください。

弊記事では念のためすべてsudoをつけています。sudoについての機能解説は割愛いたします。こちらの記事でおもしろい設定を教えてもらえて大変わらいました。

ファイアウォールを設定

防火壁、ということで、不正アクセスなどを制御する設定項目です。出入り口に置くイメージです。ゼロトラスト時代とはいえ重要な項目です。

# 入ってなかったのでインストールから
$ sudo dnf install firewalld -y
$ sudo systemctl status firewalld
Active: inactive (dead)

# 常に有効化してリロード
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
$ sudo firewall-cmd --reload

# 詳細確認（サービスやポート、フォワード、ICMPなど）
$ sudo firewall-cmd --list-all

# ゾーンの確認
$ sudo firewall-cmd --get-active-zones
$ sudo firewall-cmd --get-default-zone

# 通信制御サービスの確認
$ sudo firewall-cmd --list-services
cockpit dhcpv6-client ssh

# http/https/ntpのトラフィックを追加する（永続的に有効化）
$ sudo firewall-cmd --permanent --add-service=http
$ sudo firewall-cmd --permanent --add-service=https
$ sudo firewall-cmd --permanent --add-service=ntp

# 使わないサービスを廃止
$ sudo firewall-cmd --permanent --remove-service=dhcpv6-client
$ sudo firewall-cmd --permanent --remove-service=cockpit

# 開放しているポートの確認
$ sudo firewall-cmd --list-ports

# ポートを開ける（あとで22から2222にするので先に2222にしておきます）
$ sudo firewall-cmd --zone=public --add-port=2222/tcp --permanent 
$ sudo firewall-cmd --zone=public --add-port=3306/tcp --permanent
$ sudo firewall-cmd --reload
$ sudo firewall-cmd --list-ports
2222/tcp 3306/tcp

# （任意）IPアドレスを追加する
$ sudo firewall-cmd --add-source={ipadderss} --zone=public --permanent

# あらためて確認
$ sudo firewall-cmd --list-services
http https ntp ssh

# 通信状況を確認（netstatコマンドは非推奨なので注意）
$ sudo ss -a

設定変更を永続化する--permanentオプションは、即時反映されてしまうため、理想的なことを言えば最初は永続化オプションを入れないで確認してから、問題なければ--permanentオプションをつけて再更新するほうがよいです。

SSHポートの変更

初期名がバレているOSでは、SSHのウェルノウンポート（22）に無差別アタックがきます。hydraとかを利用した、SSHブルートフォースログイン攻撃と呼ばれるものです。

今回の案件の設定は、パスフレーズを利用していないのでSSHがブルートフォースでぶち抜かれることはないはずですが、ログが残ったり、「お、22番あいているじゃん！」で狙われるのは損だとみなして、変更することにします。ポートノッキングという、特定のポートを時間内に順番にノックしていくと空けられるテクニックや、外に露出せずにbastion（踏み台サーバー）を利用するなどの手もあります。

なにをどこで止めるか、というポリシーをもってやるのがいちばんよいと思います。

SELinux側のSSHのポートを調整します。

$ sudo semanage port --list | grep ssh
ssh_port_t                     tcp      22

$ sudo semanage port -a -t ssh_port_t -p tcp 2222
$ sudo semanage port --list | grep ssh
ssh_port_t                     tcp      2222, 22

$ sudo systemctl restart sshd

さらに「パケットフィルター設定」でパケットフィルタリングしている場合は、設定画面をブラウザで開いて、「パケットフィルター設定を追加する」から「その他」「TCP」「2222」を追加しないと外部からSSHログインできません。

ここでは仮に2222にして話を進めています。ほかの番号にした場合は、適宜読み替えてください。

最後にsshdのディレクティブを変更します。

$ sudo nano /etc/ssh/sshd_config

- #Port 22
+ Port 2222

リスタートします。

$ sudo sshd -t
$ sudo systemctl restart sshd

ログインするときのオプションも変わります。

- ssh -i ~/.ssh/xserver_{username_keyname}.pem {username}@{ipaddress}
+ ssh -p 2222 -i ~/.ssh/xserver_{username_keyname}.pem {username}@{ipaddress}

Nginxを設定する

$ sudo dnf install nginx -y
$ sudo which nginx
/usr/sbin/nginx

$ sudo systemctl start nginx
$ sudo systemctl enable nginx
$ sudo systemctl status nginx
$ sudo curl {ipaddress}

SELinuxで外部サービスと接続できなくなっている可能性があるので、確認してから変更します。

# httpd_can_network_connectがoffになっている可能性があるので確認
$ sudo getsebool httpd_can_network_connect
httpd_can_network_connect --> off

# OFFだったらONにする
$ sudo setsebool -P httpd_can_network_connect on

# ほかも確認
$ sudo getsebool -a | grep httpd

# 今回はDBを使うのでhttpd_can_network_connect_dbがOFFの場合はONにする
$ sudo setsebool -P httpd_can_network_connect_db on

# 再起動
$ sudo systemctl restart nginx

このあたりは、SELinuxを導入しなくていいと言われている理由のひとつで、設定が複雑になったり、ウェブサーバーをつくるだけなのに、こういうサイドの設定で403になったりとか、たしかにむずかしいです。

実際の設定ファイルは、/etc/nginx/nginx.confにあります。

$ sudo cat /etc/nginx/nginx.conf

これはベースのファイルなので、変更せずにあたらしいファイルをつくります。/etc/nginx/conf.d/{dokuji_domain}.confという上書き用のファイルをつくります。

$ sudo nano /etc/nginx/conf.d/{dokuji_domain}.conf

+ # HTTPをHTTPSにリダイレクト
+ server {
+     listen 80;
+     server_name {dokuji_domain} www.{dokuji_domain};
+ 
+     # HTTPをHTTPSにリダイレクト
+     return 301 https://$host$request_uri;
+ }
+ 
+ # HTTPSサーバーブロック
+ server {
+     listen 443 ssl;
+ 
+     ssl_certificate /etc/ssl/{dokuji_domain}.pem;
+     ssl_certificate_key /etc/ssl/{dokuji_domain}.key;
+ 
+     server_name {dokuji_domain};
+ 
+     root /var/www/{dokuji_domain}/production/public;
+     index index.php index.html index.htm;
+ 
+     # BASIC認証
+     auth_basic "Input Your ID and Password";
+     auth_basic_user_file /var/www/{dokuji_domain}/production/.htpasswd;
+ 
+     # ブラウザでの閲覧拒否 (.htaccess, .htpasswd)
+     location ~ /\.(htaccess|htpasswd)$ {
+         deny all;
+     }
+ 
+     # 文字コードの設定
+     charset UTF-8;
+ 
+     # sitemap.xml, robots.txt, ads.txt をまとめて設定
+     location ~ ^/(sitemap\.xml|robots\.txt|ads\.txt)$ {
+         # キャッシュを制御しないようにする
+         add_header Cache-Control "no-store, no-cache, must-revalidate";
+         add_header Pragma "no-cache";
+     }
+ 
+     # ソフトエラー
+     error_page 403 /error/403.php;
+     error_page 404 /error/404.php;
+     error_page 500 /error/500.php;
+     error_page 503 /error/maintenance.php;
+ 
+     # indexなしでもファイル一覧を表示しない
+     autoindex off;
+ 
+     # PHP ファイルと HTML ファイルを PHP として処理
+     location ~ \.(php|html)$ {
+         include fastcgi_params;
+         fastcgi_pass unix:/run/php-fpm/www.sock;  # PHP-FPMのソケット
+         fastcgi_index index.php;
+         fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
+     }
+ 
+     # XML ファイルは XML として処理
+     location ~ \.xml$ {
+         types {
+             text/xml xml;
+         }
+         default_type application/xml;
+     }
+ 
+     # キャッシュ設定
+     location ~* \.(css|js|jpg|jpeg|png|svg|webp|ico|gif|mp3|mp4|woff|woff2|ttf|pdf)$ {
+         expires 1M;
+         add_header Cache-Control "public, no-transform";
+     }
+ 
+     # セッションのSameSite設定
+     add_header Set-Cookie "Path=/; Secure; HttpOnly; SameSite=None";
+ 
+     # リライト設定
+     location / {
+         try_files $uri $uri/ /index.php?$query_string;
+     }
+ 
+     # エラーページの設定
+     location = /error/404.html {
+         root /var/www/{dokuji_domain}/production/public;
+         internal;
+     }
+ 
+     location = /error/50x.html {
+         root /var/www/{dokuji_domain}/production/public;
+         internal;
+     }
+ 
+     # access_log /var/log/nginx/{dokuji_domain}.access.log;
+     # error_log /var/log/nginx/{dokuji_domain}.error.log;
+ }

証明書がないとエラーになるので、opensslをつかって入れておきます。

$ sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout /etc/ssl/{dokuji_domain}.key \
    -out /etc/ssl/{dokuji_domain}.pem

次に、Nginxの構文があっているかどうかチェックします。ミスっている場合、ミスの内容が出てくるので生成AIとかに聞いてみるとすぐに解決します。だいたいは、インデントのミス、終端記号（;）が抜けてるとか、そういうところだと思います。

$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

再起動。

$ sudo systemctl restart nginx

指定したフォルダをつくって、よくある権限を付与します。

$ sudo mkdir -p /var/www/{dokuji_domain}/production/public
$ sudo chown -R nginx:nginx /var/www/{dokuji_domain}
$ sudo chmod -R 755 /var/www/{dokuji_domain}

index.phpにテストをつくります。

$ sudo nano /var/www/{dokuji_domain}/production/public/index.php

+ <?php
+ echo "Hello, your world!";
+ phpinfo();

まだPHPの設定ができてないので、PHPをやっていきます。

PHP

スクリプト言語はPHPを入れます。

# バージョン確認
$ sudo dnf module list php
php           8.1            common [d], devel, minimal         PHP scripting language        
php           8.2            common [d], devel, minimal         PHP scripting language

# Remiリポジトリを追加
$ sudo dnf install https://rpms.remirepo.net/enterprise/remi-release-9.rpm -y

# PHP8.2を追加
$ sudo dnf module reset php -y
$ sudo dnf module enable php:remi-8.2 -y
$ sudo dnf install php php-fpm php-mysqlnd php-opcache php-gd php-xml php-mbstring -y

# php-fpm開始
$ sudo systemctl start php-fpm
$ sudo systemctl enable php-fpm

# バージョン確認
$ sudo php -v
PHP 8.2.28 (cli) (built: Mar 11 2025 17:58:12) (NTS gcc x86_64)

NginxはPHPを処理できないため、プロセスマネージャー（PHP-FPM）を入れる必要があります。

PHP-FPMの設定

PHP-FPMをNginxにあわせて設定していきます。per-requestベースのPHPがオーバーヘッドにならないように処理してくれます。

/etc/php-fpm.d/www.confがベースのファイルになります。

$ sudo nano /etc/php-fpm.d/www.conf

; RPM: apache user chosen to provide access to the same directories as httpd
- user = apache
+ user = nginx

; RPM: Keep a group allowed to write in log dir.
- group = apache
+ group = nginx

; Set permissions for unix socket, if one is used. In Linux, read/write
- ;listen.owner = nobody
- ;listen.group = nobody
- ;listen.mode = 0660
+ listen.owner = nginx
+ listen.group = nginx
+ listen.mode = 0660

- security.limit_extensions = .php .php3 .php4 .php5 .php7
+ security.limit_extensions = .php

- php_value[session.save_path]    = /var/lib/php/session
+ ;php_value[session.save_path]    = /var/lib/php/session

+ ;php_admin_value[config_file_path] = /etc/php.ini

session.save_pathはあとでphp.ini側から調整するので、ここでは無効化しています。php_admin_value[config_file_path]は、あとでphpの設定ファイルをつなげるので、コメントアウト状態で追記しておきます。

php-fpmの設定をプロジェクトごとにつくりたいので、プールをつくります。

# PHP-FPMプールをコピー
$ sudo cp /etc/php-fpm.d/www.conf /etc/php-fpm.d/{dokuji_domain}.conf

$ sudo nano /etc/php-fpm.d/{dokuji_domain}.conf

+ php_admin_value[config_file_path] = /etc/php.d/{dokuji_domain}.ini

$ sudo systemctl start php-fpm
$ sudo systemctl enable php-fpm

# ちゃんと反映されているか確認
$ sudo systemctl status php-fpm

php.ini

PHPの設定ファイルを設定していきます。まずはどこにあるか確認します。

$ sudo php --ini
Configuration File (php.ini) Path: /etc
Loaded Configuration File:         /etc/php.ini
Scan for additional .ini files in: /etc/php.d
...

# ベースファイルを確認する
$ sudo cat /etc/php.ini
[PHP]

;;;;;;;;;;;;;;;;;;;
; About php.ini   ;
;;;;;;;;;;;;;;;;;;;
; PHP's initialization file, generally called php.ini, is responsible for
; configuring many of the aspects of PHP's behavior.

PHPの設定ファイルになります。いろんなところに置いてある可能性があるため、どこにあるか確認しておきます。今回は/etc/php.iniにあります。たまにetc/php/{php_version}/php.iniみたいなところにも置いてあることがあります。

php.iniのよく使う設定を見ておきます。更新もします。

本番環境想定

$ sudo nano /etc/php.ini

;;;;;;;;;;;;;;;;;;;;
; Language Options ;
;;;;;;;;;;;;;;;;;;;;
- disable_functions =
+ disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

- ;realpath_cache_size = 4096K
+ realpath_cache_size = 4096K

- ;realpath_cache_ttl = 120
+ realpath_cache_ttl = 120

;;;;;;;;;;;;;;;;;
; Miscellaneous ;
;;;;;;;;;;;;;;;;;
- expose_php = On
+ expose_php = Off

;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
- memory_limit = 128M
+ memory_limit = 256M

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
display_errors = Off
display_startup_errors = Off
log_errors = On

;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;
- post_max_size = 8M
+ post_max_size = 20M

;;;;;;;;;;;;;;;;
; File Uploads ;
;;;;;;;;;;;;;;;;
- upload_max_filesize = 2M
+ upload_max_filesize = 10M

;;;;;;;;;;;;;;;;;;
; Fopen wrappers ;
;;;;;;;;;;;;;;;;;;
- allow_url_fopen = On
+ allow_url_fopen = Off

allow_url_include = Off

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;
[Session]
;session.save_path = "/tmp"

- session.use_strict_mode = 0
+ session.use_strict_mode = 1

- ;session.cookie_secure =
+ session.cookie_secure = On

- session.cookie_lifetime = 0
+ session.cookie_lifetime = 86400

- session.cookie_httponly =
+ session.cookie_httponly = On

- session.cookie_samesite = ""
+ session.cookie_samesite = "Lax"

それぞれの項目の説明は割愛します。クッキー・セッション、あるいはキャッシュあたりはとくにプロジェクトによって大きく変わると思います。ご留意ください。

これをベースのファイルにします。次に、設定ファイルはプロジェクトごとにつくりたいので、コピーします。

$ sudo cp /etc/php.ini /etc/php.d/{dokuji_domain}.ini

$ sudo nano /etc/php.d/{dokuji_domain}.ini

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
- ;error_log syslog
+ error_log = "/var/log/{dokuji_domain}/production/log/"

[session]
- ;session.save_path = "/tmp"
+ session.save_path = "/var/log/{dokuji_domain}/production/session/"

ログとセッションの権限まわりの設定。

# パーミッション
$ sudo chmod 1733 /var/log/{dokuji_domain}/production/log/
$ sudo chmod 1733 /var/log/{dokuji_domain}/production/session/
$ sudo chown nginx:nginx /var/log/{dokuji_domain}/production/log/
$ sudo chown nginx:nginx /var/log/{dokuji_domain}/production/session/

# SELinuxの設定
$ sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/log/{dokuji_domain}/production/log(/.*)?"
$ sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/log/{dokuji_domain}/production/session(/.*)?"

$ sudo restorecon -Rv /var/log/{dokuji_domain}/production/log/
$ sudo restorecon -Rv /var/log/{dokuji_domain}/production/session/

$ sudo ls -Z /var/log/{dokuji_domain}/production/log/
$ sudo ls -Z /var/log/{dokuji_domain}/production/session/

再起動します。

$ sudo systemctl restart nginx

# 最後尾に追加されたか確認
$ sudo php --ini

BASIC認証

Nginxの設定ファイルのなかにBASIC認証をかけています。いちおう/procuction/.htpasswdにBASIC認証の値を置くように記述しましたが、好きなところに置いてください。

以下のコマンドでつくります。{basicauth_username}には好きな名前をいれ、ランダムなパスワードは一度しか表示されないので、逃さぬようにコピーしてください。

$ RANDOM_PASSWORD=$(openssl rand -base64 12) && HASHED_PASSWORD=$(openssl passwd "$RANDOM_PASSWORD") && echo "{basicauth_username}:$HASHED_PASSWORD" >> /var/www/{dokuji_domain}/production/.htpasswd && echo "ランダムなパスワードはこちら（メモしてください）: $RANDOM_PASSWORD"

GUIからつくれるウェブアプリもあります。お好みでやってください。

SELinux

いまのままだと403エラーになると思います。SELinuxの

$ sudo ls -Z /var/www/{dokuji_domain}/production/public/index.php
unconfined_u:object_r:var_t:s0 /var/www/{dokuji_domain}/production/public/index.php

もしvar_tというタイプになっていたら、ウェブサーバーがアクセスできなくなっているので、このディレクトリにアクセスできるようにします。

以下のchconコマンドは、SELinuxセキュリティコンテキストを変更するコマンドです。-Rオプションは、中身のサブディレクトリとかファイルに再帰的にかけていくオプションです。

$ sudo chcon -R -t httpd_sys_content_t /var/www/{dokuji_domain}/production/
$ sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/{dokuji_domain}/production(/.*)?"
$ sudo restorecon -R /var/www/{dokuji_domain}/production
$ sudo ls -Z /var/www/{dokuji_domain}/production
unconfined_u:object_r:httpd_sys_content_t:s0 index.php

これでも403になる場合は、ファイアウォールの設定（httpサービスあたり）、ファイルの権限が足りていない、Nginxの書きかたがミスっているなどが考えられます。ログを見たり、設定を確認してみたり、AIと一問一答してデバッグしてみてください。

（任意）オペコードキャッシュ

とりわけキャッシュに関しては、オペコードキャッシュを確認したいと思います。いま編集していたphp.iniのなかに以下のような記述があります。

/etc/php.ini

[opcache]
; see /etc/php.d/10-opcache.ini

オペコードキャッシュというのは、PHPはper-requestで毎回初期化して動くプログラミング言語ですが、スクリプトのコンパイル後のオペコードをキャッシュとしてメモリ上につくってくれる機能です。

$ sudo php -i
phpinfo()
PHP Version => 8.0.30
...
opcache.enable => On => On

デフォルトで有効になっていました。せっかくなので細かく設定していきます。不要なかたはスキップしてください。

/etc/php.d/10-opcache.ini（本番環境を想定）

$ sudo nano /etc/php.d/10-opcache.ini

opcache.enable=1

- ;opcache.memory_consumption=128
+ opcache.memory_consumption=128

- ;opcache.max_accelerated_files=10000
+ opcache.max_accelerated_files=10000

- ;opcache.validate_timestamps=1
+ opcache.validate_timestamps=0

- ;opcache.revalidate_freq=2
+ opcache.revalidate_freq=2

- ;opcache.save_comments=1
+ opcache.save_comments=1

- ;opcache.file_cache_consistency_checks=1
+ opcache.file_cache_consistency_checks=0

本番環境っぽくしています。それぞれの機能は割愛します。

.htaccessが存在しない世界

いわゆる「レンタルサーバー」を借りていると、Nginxで高速！と謳われているのにもかかわらず、.htaccessでサーバーの設定をオーバーライドできるものがあります。

これは、レンタルサーバー自体はNginxですが、実際にお借りしているアプリケーション側はApache HTTP Server（.htaccessがつかえる）上でワークしている、という仕組みになっています。

今回はNginxの性能を無駄にしたくないので、Apache HTTP Serverを入れません。なので、これまで.htaccessに記述していた内容をさきほど編集していた/etc/nginx/conf.d/{dokuji_domain}.confや/etc/php.d/{dokuji_domain}.iniに追記する必要があります。

どちらに書くかは案件によるかもしれませんが、基本はリクエストに関するもの（PHPファイルをPHP-FPMに接続・リクエストエラー処理・BASIC認証含め）や静的ファイルの払い出しなどをNginxのconfファイルに記述し、PHPに関すること（エラーログの出力・メモリ制限・セッションの設定など）をphp.iniに記述すると、目的に沿って整理されてよいと思います。

あるいは、レンタルサーバーふうにしたい場合は共存方法を模索してみてください。

SFTP

sshの設定ファイルを少し変えます。

$ sudo nano /etc/ssh/sshd_config

# override default of no subsystem
- Subsystem sftp /usr/libexec/openssh/sftp-server
+ Subsystem sftp internal-sftp

外部プログラムを呼び出さないようにします。設定を変えたので再起動します。

$ sudo systemctl restart sshd

クライアントアプリからログインします。

sftp接続で、host的なところにじぶんのサーバーのIPアドレスを入力し、user的なところに一般ユーザの名前を入れて、鍵は最初のほうにつくったPEM形式の鍵です。

正しく入力したらサーバー内に入れると思いますが、ホームページを更新する/var/www/配下を更新できないので、{username}でも更新できるように権限変更します。

$ sudo chown -R {username}:nginx /var/www/

（便利機能）エディターから直接更新

Cursor（VS Code）から更新できるようにします。

VSCodeの拡張機能がつかえるので、今回は「SFTP」を導入してみます。

.vscode/sftp.json

+ {
+	"name": "{好きな名前}",
+	"host": "{ipaddress}",
+	"protocol": "sftp",
+	"port": 2222,
+	"username": "{username}",
+	"privateKeyPath": "~/.ssh/xserver_{username_keyname}.pem",
+	"remotePath": "/var/www/{dokuji_domain}/production/",
+	"uploadOnSave": true,
+   "ignore": [".vscode/",".DS_Store"]
+ }

.vscode/sftp.jsonに設定ファイルを書くと、SFTP接続できます。ファイルを更新すると、サーバーのファイルが更新されます。

更新されたら困るファイルはignoreにリストアップできます。

デプロイについては今回は割愛いたします。

MySQL

DBにはオープンソースソフトウェアの「MySQL」を利用します。インストールして常に有効にします。

$ sudo dnf install mysql-server -y
$ sudo mysql -v

$ sudo systemctl start mysqld
$ sudo systemctl enable mysqld
Created symlink /etc/systemd/system/multi-user.target.wants/mysqld.service → /usr/lib/systemd/system/mysqld.service.

次は、MySQLで最初にやるセキュリティ設定です。mysql_secure_installationをはじめると、いろいろ問い合わせがくるので、答えていきます。途中で初回パスワードを聞かれるので、メモっておくのを失念しないようにきをつけてください。

まずはパスワードをつくっておきます。

$ for i in {1..2}; do
    openssl rand -base64 24 | tr -dc 'a-zA-Z0-9!@#$%^&*()_+-=' | fold -w 24 | head -n 1
done

2個出てくるのは、最初にroot用のパスワードが必要で、そのあと一般用のユーザーのパスワードが必要だからです。両方メモっておいてください。

$ sudo mysql_secure_installation

# パスワード検証プラグインを使用するかどうか
VALIDATE PASSWORD PLUGIN can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD plugin?

Press y|Y for Yes, any other key for No: Y

# パスワード強度のレベル選択
There are three levels of password validation policy:

LOW    Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary file

Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG: 2

# パスワード入力（STRONGは8文字以上、数字、小文字大文字混在、特殊文字、アタックされる辞書ファイルの回避）
Please set the password for root here.

New password: {mysql_strong_password}
Re-enter new password: {root_database_password}

# 匿名ユーザーの削除
Remove anonymous users? (Press y|Y for Yes, any other key for No) : Y

# rootログインのリモート実行の禁止
Disallow root login remotely? (Press y|Y for Yes, any other key for No) : Y

# テストデータベースの削除
Reload privilege tables now? (Press y|Y for Yes, any other key for No) : Y

次に、先ほどのパスワードでMySQLにログインして、一般ユーザーをつくるところまでいきます。

# ログイン
$ sudo mysql -u root -p

# バージョン確認
$ SELECT VERSION();
+-----------+
| VERSION() |
+-----------+
| 8.0.41    |
+-----------+

# 文字コードの確認
$ show variables like "chara%";
+--------------------------+----------------------------+
| Variable_name            | Value                      |
+--------------------------+----------------------------+
| character_set_client     | utf8mb4                    |
| character_set_connection | utf8mb4                    |
| character_set_database   | utf8mb4                    |
| character_set_filesystem | binary                     |
| character_set_results    | utf8mb4                    |
| character_set_server     | utf8mb4                    |
| character_set_system     | utf8mb3                    |
| character_sets_dir       | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+

# （任意）プラグインの確認
$ SHOW PLUGINS;
+---------------------------------+----------+--------------------+---------+---------+
| Name                            | Status   | Type               | Library | License |
+---------------------------------+----------+--------------------+---------+---------+
| binlog                          | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
| mysql_native_password           | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| sha256_password                 | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| caching_sha2_password           | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| sha2_cache_cleaner              | ACTIVE   | AUDIT              | NULL    | GPL     |
| daemon_keyring_proxy_plugin     | ACTIVE   | DAEMON             | NULL    | GPL     |
| CSV                             | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
| MEMORY                          | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
| InnoDB                          | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |

# MySQLデータベースの作成
$ CREATE DATABASE {database_name};

# MySQLユーザーの作成（usernameとpasswordを入れてください）
$ CREATE USER '{database_username}'@'%' IDENTIFIED BY '{database_password}';

# いまつくったユーザーに権限付与（外部アプリからもアクセスできるようにします）
$ GRANT ALL PRIVILEGES ON *.* TO '{database_username}'@'%' WITH GRANT OPTION;

# 更新
$ FLUSH PRIVILEGES;

# 権限確認
$ SELECT user, host FROM mysql.user;
+------------------+-----------+
| user             | host      |
+------------------+-----------+
| {database_username}| %     |
| mysql.infoschema | localhost |
| mysql.session    | localhost |
| mysql.sys        | localhost |
| root             | localhost |
+------------------+-----------+

# （おまけ）ユーザーの削除
$ DROP USER '{database_username}'@'%'

# mysqlからいったん出る
$ quit;
bye

次は、設定を変更します。

いまはメインの設定ファイル（/etc/my.conf）の[mysqld]セクションに直接書き込んでいきますが、案件によっては/etc/my.cnf.d/mysql-server.cnfのような分割ファイルに書き込むことも検討できると思います。

$ sudo nano /etc/my.cnf

+ [mysqld]
+ bind-address = 0.0.0.0
+ default_authentication_plugin = caching_sha2_password
+ default_password_lifetime = 0
+ innodb_buffer_pool_size = 1024M
+ default-time-zone = '+09:00'

タイムゾーンを変えたので更新します。

$ sudo mysql_tzinfo_to_sql /usr/share/zoneinfo | mysql -u root mysql -p
mysqlのrootユーザーのパスワードを入力

# 検証・再起動
$ sudo mysqld --validate-config
$ sudo systemctl restart mysqld

SELinuxのほうのポート制御もいちおう確認しておきます。

$ sudo semanage port -l | grep mysqld
mysqld_port_t                  tcp      1186, 3306, 63132-63164

（任意）DBバックアップ

DBを利用する場合は、自動でバックアップをとっておくにこしたことないです。

$ sudo nano /etc/cron.daily/mysql_backup.sh

+ #!/bin/bash
+ 
+ # バックアップディレクトリ
+ BACKUP_DIR="/var/backups/mysql"
+ # MySQLユーザー名
+ MYSQL_USER="{database_username}"
+ # MySQLパスワード
+ MYSQL_PASSWORD="{database_password}"
+ # MySQLデータベース名
+ DATABASE_NAME="{database_name}"
+ # バックアップファイル名
+ BACKUP_FILE="$BACKUP_DIR/backup_$(date +%Y%m%d_%H%M%S).sql"
+ 
+ # バックアップディレクトリが存在しない場合は作成
+ mkdir -p $BACKUP_DIR
+ 
+ # MySQLダンプの実行
+ mysqldump -u $MYSQL_USER -p$MYSQL_PASSWORD $DATABASE_NAME > $BACKUP_FILE
+ 
+ # 古いバックアップファイルを削除（例: 30日以上前のファイル）
+ find $BACKUP_DIR -type f -name "*.sql" -mtime +30 -exec rm {} \;
+ 
+ echo "Backup completed: $BACKUP_FILE"

権限付与します。

$ sudo chmod +x /etc/cron.daily/mysql_backup.sh

rootに移動して、スケジューラー（cron）を設定します。

$ su
$ crontab -e

+ 0 2 * * * /etc/cron.daily/mysql_backup.sh >> /var/log/mysql_backup.log 2>&1

外部アプリからMySQLにログイン

外部アプリ（クライアントアプリ）から、ログインするときに、以下の情報が必要なので、入力してテスト接続してみてください。わたしは、冒頭で紹介した「DBeaver」がかわいいのでつかってます。

ホスト: {ipaddress}
ポート: 3306
データベース名：{database_name}
ユーザー名: {database_username}
パスワード: {database_password}

SSH側
ホスト：{ipaddress}
ポート：22
ユーザー：{username}
パスワード：ここは使いません
プライベートキー：~/.ssh/xserver_{key_name}.pem

接続できない場合は、ファイアウォールのポート、SELinuxのセキュリティコンテキストあたりで閉じられているかもしれません。それ以上に多いのは、入力ミスです。わたしもよくまちがって何時間か失っています。

接続できたら、usersテーブルとか、articlesテーブルとかいろいろつくれます。SQLやテーブル設計の話は割愛します。

完成（完成したとは言ってない）

OS（AlmaLinux）のうえに、Nginxが入り、PHPファイルについてはPHP-FPMで処理され、同ホスト上でMySQLと接続しました。

ドメインまわりが完了していたら、ひとまずかたちになった、というところです。ドメインまわりはがっつり割愛しましたが、あらためてCloudflareがおすすめです。

ここからはプラスアルファ、大事なところを詰めていきます。

ログ監視

ログウォッチを入れてログを監視します。

$ sudo dnf install logwatch -y

設定はいろいろあると思いますが、ここでは一例を書いておきます。

$ sudo nano /etc/logwatch/conf/logwatch.conf

+ # ログの詳細レベル (Low, Med, High)
+ Detail = High
+ 
+ # レポートの出力形式 (text, html, mail)
+ Output = mail
+ 
+ # レポートの形式 (std, pretty)
+ Format = html
+ 
+ # レポートの送信先メールアドレス
+ MailTo = {email}
+ 
+ # レポートの送信元メールアドレス
+ MailFrom = logwatch@y{dokuji_domain}
+ 
+ # レポートの範囲 (All, Today, Yesterday)
+ Range = Yesterday
+ 
+ # 監視するサービス (すべてのサービスを監視する場合は 'All' を指定)
+ Service = All
+ 
+ # 特定のサービスを除外する場合
+ # Service = "-zz-network"  # 例: ネットワーク関連のログを除外
+ 
+ # ログファイルの場所を指定 (デフォルトは /var/log)
+ LogDir = /var/log
+ 
+ # アーカイブされたログファイルも含める
+ Archives = Yes
+ 
+ # タイムゾーンを日本時間 (JST) に設定
+ Timezone = Asia/Tokyo
+ 
+ # レポートの言語を指定
+ Language = ja

logwatch@{dokuji_domain}としましたが、メールアドレスのつくりかたは割愛します（Cloudflareだと「メールアドレス」から新規作成できます）。

メールアドレスが設定できたら、試しにやってみましょう。

# 試しに表示する
$ sudo logwatch --detail High --output stdout --range yesterday

# メール送信
$ sudo logwatch --output mail

# タイムゾーンの確認
$ timedatectl

次に、監視が自動実行であることを確認します。スケジューラー（cronジョブ）を見ます。

$ sudo ls -la /etc/cron.daily/0logwatch
-rwxr-xr-x. 1 root root 486 Sep 27  2023 /etc/cron.daily/0logwatch

ファイル同期

$ sudo dnf install rsync -y
$ sudo rsync --version
rsync  version 3.2.3  protocol version 31

時間合わせ

まずは有効化する。

$ sudo chronyc sources -v
$ sudo systemctl enable chronyd

設定を変えます。

# 日本の国立研究開発法人情報通信研究機構（NICT）が提供するNTPサーバー
$ sudo nano /etc/chrony.conf

- pool 2.almalinux.pool.ntp.org iburst
+ pool ntp.nict.jp iburst

再起動します。

$ sudo systemctl restart chronyd

# 再同期
$ sudo chronyc makestep

# 表示
$ sudo chronyc tracking
Ref time (UTC)  : Fri Mar 07 23:52:21 2025
System time     : 0.000000036 seconds slow of NTP time

メールサーバー

Postfixメールサーバーをインストールします。

# インストール
$ sudo dnf install postfix -y

# メール転送エージェント（MTA）の設定確認
$ sudo alternatives --display mta

# Postfixのバージョン情報
$ sudo postconf |grep mail_version
mail_version = 3.5.25
milter_macro_v = $mail_name $mail_version

多言語的にする予定がなく、RFC 6531標準にのっとらなくていい場合は、SMTPUTF8を無効にしたほうがいいと思うので、下記の設定ファイルを追記。案件によると思います。

$ sudo nano /etc/postfix/main.cf

+ smtputf8_enable = no

常に有効にして反映します。

$ sudo systemctl start postfix
$ sudo systemctl enable postfix
$ sudo systemctl restart postfix

アンチウイルスソフト

EPEL（Extra Packages for Enterprise Linux）リポジトリから取得します。

$ sudo dnf install epel-release -y
$ sudo dnf install clamav clamd clamav-update -y

# ClamAVのウイルス定義データベースを最新にします
$ sudo freshclam
Database test passed.
bytecode.cvd updated (version: 335, sigs: 86, f-level: 90, builder: raynman)

# 実行（ファイルでもディレクトリでもOK）
$ sudo clamscan -r --remove {test_filepath/dirpath}
----------- SCAN SUMMARY -----------
Known viruses: 8704988
Engine version: 1.0.8
Scanned directories: 130
Scanned files: 567
Infected files: 0
Data scanned: 494.99 MB
Data read: 235.77 MB (ratio 2.10:1)
Time: 47.687 sec (0 m 47 s)

--removeオプションは感染ファイルやディレクトリを削除するオプションなので、つけないでもいいかもしれません。たとえば、sudo clamscan -r /var/www/{dokuji_domain}とすれば、今回つくった独自ドメインのファイルをすべてチェックできます。

ブルートフォース攻撃を防ぐ

$ sudo dnf install fail2ban -y

ファイルは以下のところにあります。

$ sudo cat /etc/fail2ban/jail.conf

追加設定は別のファイルに置きます。

$ sudo nano /etc/fail2ban/jail.local

+ [sshd]
+ enabled = true
+ maxretry = 3
+ bantime = 3600

（任意）EXIFデータを削除する

画像ファイルにセンシティブなメタ情報が付与されていることがあるので、常に削除するほうがよいです。-overwrite_originalというオプションをいれるとバックアップをとらないです。

$ sudo dnf install perl-Image-ExifTool -y
$ sudo exiftool -all= -overwrite_original var/www/{dokuji_domain}/production/public/assets/images/{image_filepath}

（Cloudflareのみ）CloudflareのSSLの証明書設定

Cloudflareの指示にしたがって加工します。Cloudflareじゃないひとはスキップしてください。

ここからキーを作成します。.pemと.keyです。

$ sudo nano /etc/ssl/{dokuji_domain}.pem
指定のキーを入れる
$ sudo chmod 600 /etc/ssl/{dokuji_domain}.pem

$ sudo nano /etc/ssl/{dokuji_domain}.key
指定のキーを入れる
$ sudo chmod 600 /etc/ssl/{dokuji_domain}.key

# ログファイルディレクトリの権限を755にする
$ sudo chown nginx:nginx /var/log/nginx
$ sudo chmod 755 /var/log/nginx

# ログファイル作成
$ sudo touch /var/log/nginx/nginx.vhost.error.log
$ sudo chown nginx:nginx /var/log/nginx/nginx.vhost.error.log
$ sudo chmod 644 /var/log/nginx/nginx.vhost.error.log

$ sudo touch /var/log/nginx/nginx.vhost.access.log
$ sudo chown nginx:nginx /var/log/nginx/nginx.vhost.access.log
$ sudo chmod 644 /var/log/nginx/nginx.vhost.access.log

# 再起動
$ sudo systemctl restart nginx

（困ったとき）ログを見る

$ sudo tail -f /var/log/nginx/error.log
$ sudo ls -Z /var/www
$ sudo ausearch -m avc -ts recent
$ sudo cat /var/log/audit/audit.log
$ sudo cat /var/log/secure
$ sudo tail -f /var/log/secure

$ sudo df -h
$ sudo free -h

SSHログインを楽にする

ローカルの~/.ssh/configファイルにVPSのデータを記載しておくと、ログインが少し楽になります。

~/.ssh/confg

+ ################################################################
+ # XSERVER VPS
+ ################################################################
+ Host {server_short_name}
+     Hostname {ipaddress}
+     User {username}
+     Port 2222
+     IdentityFile ~/.ssh/xserver_{username}.pem

下記コマンドでログインできるようになります。

$ ssh {server_short_name}

参考記事

まとめ

2025年にVPSというのはすこしヘンな感じもしますが、このあたりは一回おぼえると毎回あんまりやること変わらないのでスキル的にも消費期限が長くありがたいです。

初心者のかたでわかりづらいところがあれば、Twitterから教えていただけるとうれしいです。

Discussion