この記事のコマンドや設定は執筆時点(2026年7月・Ubuntu 26.04 LTS)で動作を確認した内容です。ディストリビューションやパッケージのバージョンで挙動が変わることがあるので、うまくいかないときは公式ドキュメントもあわせて確認してください。
VPSを借りてサーバーにログインすると、まっさらな Ubuntu が待っています。ここで多くの人が「で、最初に何をすればいいんだろう?」と手が止まります。放っておくと、rootのまま作業して事故を起こしたり、パスワード認証を狙った総当たりログインを浴び続けたりと、地味に危ない状態が続きます。
この記事では、ConoHa VPS で Ubuntu 26.04 LTS を立ち上げ、公開サーバーとして最低限やっておきたい初期設定までを順番に進めます。コマンドはそのまま貼って使える形で載せているので、初めてのVPSでも迷わず「安全なスタートライン」に立てます。
Ubuntu 26.04 LTS(Resolute Raccoon)とは
Ubuntu 26.04 LTS は 2026年4月23日にリリースされた最新のLTS(長期サポート)版です。コードネームは「Resolute Raccoon」。
サーバー用途で LTS を選ぶ理由は、なんといってもサポート期間の長さです。26.04 は標準で 5年間(2031年4月まで) のセキュリティアップデートが提供され、Ubuntu Pro(個人利用は無償枠あり)を使えばさらに延長して最大10年まで受けられます。半年ごとの通常版と違って「気づいたらサポート切れ」になりにくいので、長く動かすVPSには LTS が向いています。
24.04 LTS から乗り換える人向けに、サーバー運用で押さえておきたい変更点をいくつか挙げておきます。
- Linuxカーネルが 7.0 系に更新(24.04 は 6.8 系)
- OpenSSH が 10.2 系に。古い DSA 鍵は廃止され、量子コンピュータを見据えた新しい鍵交換方式に対応
- apt が 3.x 系に。以前から非推奨だった
apt-keyコマンドは完全に削除され、リポジトリの鍵は後述のsigned-by方式で登録します - 時刻同期が Chrony に変更(従来の systemd-timesyncd から)
/tmpが既定で tmpfs(メモリ上)に。メモリの小さいプランでは大きな一時ファイルの扱いに少しだけ注意- sudo が sudo-rs(Rust製)に。使い方はこれまでと同じで、
sudoコマンドやsudoグループはそのまま使えます
細かい違いはありますが、この記事で扱う初期設定の操作感は 24.04 とほとんど変わりません。安心して読み進めてください。
ConoHa VPS で Ubuntu 26.04 サーバーを用意する
まずはサーバー本体を作ります。ここでは筆者も使っている ConoHa VPS を例にしますが、他社VPSでも「OSイメージに Ubuntu 26.04 を選ぶ」流れは同じです。
ConoHa VPS のコントロールパネルから「サーバー追加」を開き、次の順に設定していきます。
- プランを選ぶ:Ubuntu 26.04 はメモリ 1GB 以上のプランが目安です。まず試すなら小さめのプランでかまいません。
- イメージタイプで「OS」→「Ubuntu」→「26.04」を選択:ConoHa VPS は 26.04 / 24.04 / 22.04 が用意されているので、迷わず 26.04 を選びます。
- rootパスワードとSSHキーを設定:安全側に倒すなら、パスワードだけに頼らず SSHキーを登録 しておきます。手元に鍵がなければ「新規作成」で作ってしまうのが早いです(秘密鍵は必ずダウンロードして保管)。
- 「追加」をクリックしてサーバー作成:数十秒から数分で起動します。
- IPアドレスを確認:作成したサーバーの詳細画面に表示されるグローバルIPアドレスをメモします。
SSHで接続する
サーバーが立ち上がったら、手元のPC(ターミナルやWindowsのPowerShell)から接続します。SSHキーを登録した場合は、ダウンロードした秘密鍵を指定してつなぎます。
ssh -i ~/.ssh/秘密鍵ファイル root@さっき確認したIPアドレス💡 つながらないときは、ConoHa のセキュリティグループ(仮想ファイアウォール)でSSH(22番ポート)が許可されているかを確認してください。ConoHa VPS は利用するポートをあらかじめ許可しておく必要があります。どうしてもSSHが通らないときは、コントロールパネルの「コンソール」からブラウザ経由で直接ログインして設定を確認できます。
初回は「本当に接続していい?」と聞かれるので yes で進みます。プロンプトが root@... に変われば接続成功です。ここからが初期設定の本番です。
Ubuntu 26.04 サーバーの初期設定
ここからは、公開サーバーとして最低限やっておきたい設定を順に進めます。上から順にやれば大丈夫です。
1. パッケージを最新にする
まずはインストール済みのソフトを最新の状態にします。セキュリティ修正もここで当たります。
sudo apt update
sudo apt upgrade -y作成直後のサーバーはカーネルの更新が入ることもあります。更新後に再起動を促されたら、sudo reboot で一度再起動しておくと安心です。
2. 作業用ユーザーを作る(root常用をやめる)
root は何でもできてしまう分、操作ミスや乗っ取りの被害が一気に広がります。普段の作業は一般ユーザーで行い、必要なときだけ sudo で一時的に管理者権限を借りる、という形が基本です。
ここでは例として michi というユーザーを作ります(名前はお好みで)。
sudo adduser michiパスワードや氏名を聞かれるので、パスワードだけしっかり設定すれば、あとは空欄でEnterでかまいません。続いて、この作業ユーザーが sudo を使えるように sudo グループへ追加します。
sudo usermod -aG sudo michi3. 作業ユーザーでSSH鍵認証を使えるようにする
次のステップでパスワードログインを止めるので、その前に 作業ユーザーで鍵を使ってログインできる状態 を作っておきます。ここを飛ばすと自分が締め出されるので、順番が大事です。
手元のPCにまだ鍵がなければ、ローカル側で作成します(すでにConoHaで作った鍵を使うならこの手順は不要です)。
ssh-keygen -t ed25519 -C "michi@laptop"作成した公開鍵をサーバーの作業ユーザーに登録します。手元のPCから次のコマンドを使うと一発で入ります。
ssh-copy-id -i ~/.ssh/id_ed25519.pub michi@サーバーのIPアドレス登録できたら、いったん別のターミナルを開いて ssh michi@IPアドレス でログインできることを必ず確認してください。ここで入れることを確かめてから、次の「締め」に進みます。
4. rootログインとパスワード認証を無効化する
作業ユーザーで鍵ログインできることを確認したら、SSHの入口を締めます。Ubuntu 26.04 では設定ファイルを直接いじらず、/etc/ssh/sshd_config.d/ にドロップイン設定を置くのが今どきの作法です。
sudo nano /etc/ssh/sshd_config.d/99-hardening.confエディタが開いたら、次の内容を書いて保存します。
# rootでの直接ログインを禁止
PermitRootLogin no
# パスワード認証を禁止(鍵認証のみ)
PasswordAuthentication no
# 公開鍵認証を有効に
PubkeyAuthentication yes保存したらSSHを再起動して反映します。
sudo systemctl restart ssh⚠️ 再起動しても今つないでいるセッションは切れません。新しいターミナルで
ssh michi@IPアドレスを試し、鍵でちゃんと入れることを確認してから、今のrootセッションを閉じてください。もし新しい接続が弾かれても、今のセッションが生きているうちなら設定を戻せます。
5. ファイアウォール(ufw)を有効にする
Ubuntu には ufw という扱いやすいファイアウォールが入っています。まずSSHを通す穴だけ開けてから有効化します。順番を逆にすると自分がSSHで入れなくなるので注意してください。
sudo ufw allow OpenSSH
sudo ufw enablesudo ufw status で OpenSSH ALLOW が出ていればOKです。あとでWebサーバーを動かすなら sudo ufw allow 80,443/tcp のように必要なポートだけ追加していきます。
なお、ConoHa VPS には別途セキュリティグループ(仮想ファイアウォール)もあります。ufw は「サーバー内側」、セキュリティグループは「その手前」で効く二段構えだと考えておくと分かりやすいです。
6. セキュリティ更新を自動化する(unattended-upgrades)
毎回手で更新するのは続きません。セキュリティ更新だけでも自動で当たるようにしておきます。
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades途中で「自動更新を有効にするか」を聞かれたら「はい」を選びます。これでセキュリティに関する更新は放っておいても当たるようになります(カーネル更新後の再起動が必要な場合もあるので、たまに手動での様子見はしておきましょう)。
7. タイムゾーンとロケールを整える
ログの時刻がずれていると障害調査が地味につらいので、日本時間に合わせておきます。
sudo timedatectl set-timezone Asia/Tokyotimedatectl を実行して Time zone: Asia/Tokyo と表示され、時刻同期(Ubuntu 26.04 では Chrony)が有効になっていれば大丈夫です。日本語ロケールを使いたい場合は次のように追加します。
sudo apt install language-pack-ja -y
sudo update-locale LANG=ja_JP.UTF-88. ホスト名を分かりやすくする
サーバーが増えてきたときに見分けやすいよう、ホスト名を付けておきます。
sudo hostnamectl set-hostname michi-web019. スワップ領域を作る(メモリの少ないプラン向け)
メモリの小さいVPSでは、スワップが無いと一時的なメモリ不足でプロセスが強制終了することがあります。ここでは2GBのスワップファイルを作る例です(プランのメモリに応じて調整してください)。
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile再起動後も有効にするため、/etc/fstab に追記します。
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstabfree -h を実行して Swap の行に容量が表示されれば成功です。
10. 総当たりログイン対策に fail2ban を入れる(任意)
SSHの鍵認証だけにしていれば総当たり自体はほぼ無効化できますが、ログを汚し続けるアクセスを自動で遮断したいなら fail2ban が手軽です。
sudo apt install fail2ban -yインストールするだけでSSHの保護(sshd jail)が既定で効き始めます。細かくしきい値を変えたいときは /etc/fail2ban/jail.local を作って調整します。
よくある質問
Q. root のまま全部やってはダメですか?
動くには動きますが、おすすめしません。操作ミスの影響が大きく、rootが乗っ取られた時点でサーバー全体を握られます。作業ユーザー+sudo にしておくだけで、事故の被害をかなり小さくできます。
Q. SSHのポート番号は22番から変えるべき?
変えても「本質的な安全」はさほど上がりませんが、自動化されたスキャンやログのノイズは減ります。変えるなら、sshd_config.d でポートを指定し、ufw とConoHaのセキュリティグループの両方で新しいポートを許可してから再起動してください(片方だけだと締め出されます)。
Q. この設定はUbuntu 24.04でも使えますか?
基本的な流れはほぼ同じです。ドロップイン方式のSSH設定やufw、unattended-upgrades は 24.04 でも同様に使えます。パッケージ名やコマンドの細部は各バージョンの公式情報で確認してください。
まとめ
ここまでで、Ubuntu 26.04 のVPSを「借りたまま」から「公開サーバーとして最低限守れる状態」まで持ってこられました。ポイントを振り返ります。
- 作業は一般ユーザー+sudoで行い、rootの常用をやめる
- SSHは鍵認証だけにして、rootログインとパスワード認証を止める
- ufw で入口を絞り、自動更新でセキュリティ修正を当て続ける
- タイムゾーン・swap・ホスト名を整えて運用しやすくする
初期設定が終わったら、いよいよサーバーで何かを動かす番です。メールサーバー(Postfix)を運用するなら、次はスパム対策が課題になります。続編で、高速なスパムフィルタ Rspamd を Postfix と連携させる手順を解説しているので、あわせて読んでみてください。

コメント