Ubuntu 24.04 LTS サーバー初期設定ガイド：固定IP・UFW・SSH鍵認証の鉄壁セットアップ

Ubuntu 24.04 Serverを導入し、外部公開を前提とした安全な「聖域」を構築するための初期設定手順です。特に24.04特有のSSH仕様（ssh.socket）を回避し、確実にカスタムポートで運用する方法をまとめています。

1. ネットワークの固定IP化（Netplan）
1. 設定ファイルの編集
2. 反映
2. ファイアウォール（UFW）の構築
3. SSH公開鍵認証の準備（クライアント側）
4. SSHの高度なセキュリティ設定（Ubuntu 24.04対応版）
5. 最終仕上げ：ポートの入れ替え
まとめ：完成した「聖域」の姿

1. ネットワークの固定IP化（Netplan）

サーバーのIPアドレスが変動しないよう固定します。
注意点としてルーターのDHCP割り当て範囲外のIPの指定を忘れずに。
これを忘れてるとバッティングして急に接続が不能になり悩むことになります。

設定ファイルの編集

/etc/netplan/ 配下にある設定ファイル（例: 01-netcfg.yaml）を編集します。

sudo nano /etc/netplan/01-netcfg.yaml

設定例（192.168.1.225 に固定する場合）:

network:
  version: 2
  ethernets:
    enP7s7:  # 自分の端末のインターフェース名
      dhcp4: no
      addresses: [192.168.1.xxx/24] # 自分の環境に合わせる
      routes:
        - to: default
          via: 192.168.1.1
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]

反映

sudo netplan apply

2. ファイアウォール（UFW）の構築

「必要な門だけを開け、それ以外はすべて閉じる」設定を行います。

# 基本ポリシーの設定
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 暫定的にSSH（22番）を許可
sudo ufw allow 22/tcp

# 有効化
sudo ufw enable

3. SSH公開鍵認証の準備（クライアント側）

パスワードを廃止し、強固な「鍵」でのログインに切り替えます。

鍵ペアの作成（WindowsのPowerShellで実行）

ssh-keygen -t ed25519 -C "your_comment"

※ id_ed25519（秘密鍵）と id_ed25519.pub（公開鍵）が生成されます。

公開鍵のサーバー転送（PowerShellで実行）

Get-Content $HOME\.ssh\id_ed25519.pub | ssh keomin@192.168.1.225 "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

公開鍵のサーバー転送（WinSCPでアップロード）

PowerShellでエラーになる場合はFTPでアップしてもOKです。

接続してユーザのフォルダに.sshフォルダを作成します。

Windows側で作成したファイル「ed25519.pub」を.sshフォルダにアップします。

ファイル名を「authorized_keys」に変更します。

最後にパーミッションを設定します。.sshは[700]に。authorized_keysは[600]に変更します。

4. SSHの高度なセキュリティ設定（Ubuntu 24.04対応版）

ここが最重要ポイントです。Ubuntu 24.04では「ssh.socket」という新仕様が干渉するため、これを無効化して従来方式に切り替えます。

SSH管理方式の切り替え

# ソケット管理を無効化し、サービス管理に変更
sudo systemctl disable --now ssh.socket
sudo systemctl enable --now ssh.service

SSH設定ファイルの書き換え

sudo nano /etc/ssh/sshd_config

変更すべき重要項目:

Port 55522                 # デフォルトの22から変更(一例です。空いてるポートを指定する)
PubkeyAuthentication yes    # 鍵認証を許可
PasswordAuthentication no   # パスワード認証を禁止
PermitRootLogin no          # Rootログインを禁止

設定の反映

sudo systemctl restart ssh

5. 最終仕上げ：ポートの入れ替え

新しいポートで接続できることを確認したら、古い22番ポートを完全に封印します。

# 新ポートを許可
sudo ufw allow 55522/tcp

# 旧ポート（22番）の許可を削除
sudo ufw delete allow 22/tcp

# 反映と確認
sudo ufw reload
sudo ufw status verbose

まとめ：完成した「聖域」の姿

以上の手順で、以下の状態が完成しました。

固定IP: ネットワーク内で迷子にならない。
カスタムポート: 攻撃ボットからのスキャンを回避。
鍵認証専用: パスワード総当たり攻撃を100%遮断。
UFW防御: 55522番以外は一切の侵入を許さない。

これで物理ディスプレイやキーボードを外し、リモートからの安全な運用が可能です。