claude-code-telegramを安全に動かす設定メモ
Levelsのツイートを見て、claude-code-telegramを自分でも動かしてみた。
非エンジニアだけど、AIと壁打ちしながら全部やった。
セキュリティが心配だったので、やったことをメモしておく。
前提:何を作ったか
- Hetzner VPS(月額€4.5)
- Nginx + PHP でブログを配信
- claude-code-telegramでTelegramからブログを更新
サーバー初期設定
- Nginx + PHP-FPMをインストール
- Cloudflare Origin CertificateでSSL化
- ファイアウォールは22, 80, 443のみ開放
- SSHパスワード認証を無効化(鍵認証のみ)
- 自動セキュリティアップデートを有効化
ここまではVPSの基本設定。次がclaude-code-telegram固有の話。
claude-code-telegramのセキュリティ
リスク
- Bot Token漏洩 → 誰でもBotを操作できる
- rootで動かす → サーバー全体が危険にさらされる
対策
- 対策①:ALLOWED_USERSで自分だけに制限
.envファイルにALLOWED_USERS=自分のTelegram IDを設定する。
これでBot Tokenが漏れても、自分以外は操作できない。
- 対策②:bot専用ユーザー(非root)で実行
専用ユーザーを作り、そのユーザーでclaude-code-telegramを動かす。
万が一の侵害時にも、被害がそのユーザーの権限内に収まる。
- 対策③:ブログディレクトリのみ書込み許可
bot専用ユーザーが書けるのはブログのディレクトリだけにする。
サーバーの他の部分には触れない。
補足:Tailscaleはこのケースでは不要
前回のOpenClawの記事ではTailscaleを使った。
OpenClawはWebダッシュボードがあるので、外部からのアクセス制限が必要だった。
claude-code-telegramはWebダッシュボードがない。
TelegramのBot API経由でしか通信しない(外向きのHTTPSのみ)。
なのでTailscaleなしでもセキュリティ的に問題ない。
まとめ
ソースコードはGitHubで公開しています。
github.com/manabubannai/mblog-main
