Raspberry Piで自宅から匿名でウェブサイトをホスティングする

自宅ネットワークのRaspberry Piで公開サイトを運営すると、単一IP以上の情報が漏れる可能性があります。この構成はそのリスクを実用的に軽減します。

• 自宅のIPをVPNの出口ノードの背後に隠し、観察者がRaspberry Piの通信と場所を結びつけられないようにします。
• Raspberry PiはアウトバウンドのCloudflare Tunnel接続のみを維持するため、インバウンドのポートフォワーディングは不要です。
• CloudflareにTLS、キャッシュ、DDoS対策を任せ、Raspberry Piのオリジンは非公開のままにします。
• 別サーバーを借りずに、Raspberry Piの低コストと柔軟性を活かしたセルフホスティングを維持します。

このRaspberry Piの設計は単一のアウトバウンド経路と明確な信頼ゾーンを使い、オリジンが公開ルーティングされることを防ぎます。

1. 訪問者はCloudflare DNSでドメインを解決し、CloudflareエッジでHTTPSを終端します。
2. Raspberry Pi上でcloudflaredを動かし、Cloudflareへのアウトバウンド専用トンネルを維持します。
3. Raspberry Piはトンネル通信をVPNインターフェース経由に強制し、CloudflareにはVPN出口IPのみが見えます。
4. Raspberry Pi上のウェブサーバーが応答し、返信はVPNとCloudflareエッジを経由して戻ります。

Raspberry Piはアウトバウンド接続のみのため、ルーターに開放ポートがなくなり、自宅の攻撃対象範囲が大幅に減少します。

Raspberry PiをCloudflare Tunnelの背後に置くプライベートな自宅ウェブサーバーにする前に、以下のハードウェアとアカウントを準備してください。

• Raspberry Pi 4以降、4GB以上のRAM、安定した電源、高耐久のmicroSDカードまたはSSD。
• SSH有効化と基本的なセキュリティ強化を施したRaspberry Pi OS Lite。
• CloudflareアカウントとCloudflare DNSで管理されているドメイン。
• トンネルやポリシー作成のためのCloudflare Zero Trustダッシュボードへのアクセス。
• WireGuardまたはOpenVPN設定ファイルに対応したログなしVPNプロバイダー。
• 任意：Nginx、Caddy、Traefikなどのリバースプロキシ（ルーティングやヘッダー制御用）。

おすすめのRaspberry Piスターターキット

ハードウェア推奨

Raspberry Pi 4 スターターキット

ボード・電源・ストレージが揃ったコンパクトなキットなら、匿名ホスティングを素早く立ち上げられます。

Amazonで買う

プライバシー重視のVPNが必要なら、監査済みのプロバイダー例： Proton VPN または NordVPN Raspberry PiでWireGuardをサポートし、キルスイッチ機能を提供しています。

ウェブサイトがCloudflare経由で公開されても安定稼働するよう、Raspberry Piの基本システムを強化しましょう。

1. OSを更新し sudo apt update および sudo apt full-upgrade, 再起動します。
2. sudo権限を持つ非rootユーザーを作成し、パスワード認証のSSHログインを無効化します。
3. セキュリティパッチを自動適用するために無人アップグレードを有効にします。
4. VPNとCloudflareに必要なアウトバウンド通信のみ許可するファイアウォールルールを適用します。
5. SSHは鍵認証のみとし、fail2banやCrowdSecでブルートフォース攻撃を抑制します。
6. Raspberry Piのウェブスタックをsystemdで管理し、クラッシュ後も自動でサービスを再起動させます。

次に、Raspberry Piトンネルが暗号化されたVPN経路のみでインターネットに接続できるようにします。

1. VPNプロバイダーからWireGuardまたはOpenVPNのプロファイルを生成します。Raspberry PiではWireGuardが一般的に高速です。
2. 設定をインポートします。WireGuardの場合は /etc/wireguard/wg0.conf.
3. VPNを起動し、VPNインターフェースをRaspberry Piのアウトバウンド通信のデフォルトルートに設定します。
4. systemd networkdまたはNetworkManagerで起動時自動開始を有効にします。
5. iptablesまたはnftablesでキルスイッチを実装し、VPNなしでcloudflaredが接続できないようにします。
6. 出口IPを確認するには curl https://ifconfig.me CloudflareにはVPNのIPだけが見えることを確認できます。

VPNを有効にした状態で、Raspberry Pi上にCloudflare Tunnelを作成し、HTTPSリクエストをローカルのウェブサーバーにプロキシします。

1. 公式リポジトリからcloudflaredをインストールするか、スタンドアロンバイナリを使用します。
2. 認証に使用するのは cloudflared tunnel login アカウントを接続します。
3. 名前付きトンネルを作成します（例： cloudflared tunnel create anonymous-site UUIDを控えておきます。
4. 書き込み /etc/cloudflared/config.yml ingressルールでホスト名をRaspberry Pi上のウェブサービスにマッピングして。
5. VPNインターフェースのデフォルトルートを維持し、キルスイッチルールを適用してトンネルをVPN経路に固定します。
6. トンネルを起動時に開始し、障害時に再起動するsystemdサービスを作成します。
7. cfargotunnel.comのトンネルUUIDを指すホスト名のCloudflare DNSレコード（CNAME）を作成します。

これにより訪問者はCloudflare経由でサイトにアクセスし、Raspberry Piのオリジンは直接スキャンされず非公開のままです。

公式Cloudflare Tunnelドキュメントで詳細なポリシーガイドを確認してください。

多層防御により、どれか一つの対策が失敗してもRaspberry Piの自宅ホスティングは耐障害性を保ちます。

• Cloudflare Zero Trustポリシーやサービストークンで重要なパスを保護します。
• WAFルール、ボット対策、レート制限を有効にして悪用を減らします。
• トンネル限定のオリジン証明書を使い、エンドツーエンドでHTTPSを強制します。
• Pi上でfail2banやCrowdSecを動かし、繰り返しの認証試行をブロックします。
• 公開コンテンツと管理ダッシュボードを分離し、Cloudflare Accessでプライベートツールを保護します。
• メタデータ漏洩を減らすため、VPN経由でサニタイズ済みログをリモート収集先に送信します。

各Raspberry Piの層を監視し、障害が起きてもオリジンIPの漏洩を防ぎます。

• 実行 cloudflared tunnel info でコネクターの正常性を確認します。
• DNSを問い合わせて dig +short CloudflareエッジのIPに解決されることを確認します。
• VPNインターフェースを wg show または openvpn --status で暗号化が有効か確認します。
• Netdata、Prometheus Node Exporter、Grafana AgentでRaspberry PiのCPU、メモリ、ディスク状態、帯域を監視しましょう。
• トンネルやVPNが切断されたらすぐに通知が届くように稼働監視を設定します。
• Cloudflareの分析でアクセス急増やブロック、スキャンの兆候を確認します。

Raspberry Piで提供するウェブサイトも、配信が速く安定していれば高評価を得られます。

• Cloudflareのキャッシュとパフォーマンス機能を有効にし、世界中で高速表示を実現します。
• Brotli圧縮とHTTP/3を使い、訪問者とCloudflareエッジ間の遅延を減らします。
• 静的資産はCloudflare WorkersやPagesに任せ、動的処理はRaspberry Piで行います。
• 適切な箇所にJSON-LD構造化データを追加し、リッチリザルトの対象にします。
• トンネル経由でデプロイを自動化し、管理用ポートの公開を避けます。
• プライバシー配慮型解析でCore Web Vitalsを監視し、問題を早期に修正します。

配信とRaspberry Piのオリジン管理を分離することで、プライバシーを守りつつグローバルな高速配信が可能です。

これらのプライバシー・セキュリティ資料でさらに理解を深めましょう：