Mastodonセキュリティチェックシート

Mastodonインスタンスを立ち上げた時、セキュリティ的にチェックしておくべき項目

ドメイン編

  • Whois情報公開代行サービスを使用しているか(オプション)
    Whois情報公開代行が出来ないTLDもあります。自分の情報を公開したくない場合は、Whois情報公開代行ができるTLDを選択しましょう。

DNS編

  • DNS CAAを設定しているか(オプション)
    設定する値は証明書の発行機関により異なります。
  • SPFレコードを設定しているか
    外部のメールサービスを使用する場合、利用時の初期設定で設定している場合があります。

サーバー編

SSH

  • rootユーザーでログインが出来ないようになっているか
    sshd_config で PermitRootLogin noに設定し、rootユーザーでのログインが拒否されることを確認しましょう。
  • パスワード認証を無効にしているか
    sshd_config で PasswordAuthentication no に設定し、パスワードでの認証が出来ないことを確認しましょう。
  • fail2ban等で侵入を試みたIPアドレスをブロックしているか(オプション)

ファイアウォール

  • 80、443、SSHで使用するポートが外向けに開いていないか
  • IPv6でアクセスした場合でも、不要なポートが外向けに開いていないか
    Ubuntuであればufwが有効になっているか、公開する必要の無いポートをallowしていないかを確認すること。

HTTPヘッダ

  • HTTP Strict Transport Security (HSTS) ヘッダを設定しているか。
  • Mastodon v2.6.0より前のバージョンを使用している場合、Contents Security Policy(CSP)ヘッダを適切に設定しているか
    v2.6.0以降は、MastodonがCSPヘッダーを付与するため不要です。
  • Observatory by MozillaのスコアがA以上になっているか

HTTPS

  • Let'sEncryptを使用する場合、certbotの動作を確認したか
    証明書の更新が出来ていないと、ある日突然アクセスできなくなる事があります。certbot renew --dry-runで確認できます。

コンプライアンス編

参考リンク・関連情報