Hace no más de un mes decidí sustituir mi pequeño NAS de la marca Iomega (ya no sé ni si existe esta marca) que me dieron en mi antigua empresa por los servicios prestados, porque no me pagaron una parte pero me «regalaron» esa pequeña maravilla de entonces. Acepté y hace poco también él aceptó la jubilación

Previo al cambio, como soy realmente «pesado» para comprar algo, estuve decidiendo que adquirir según mis necesidades. Estuve revisando precios en diferentes páginas generalistas y otras empresas de componentes e informática y valorando sobre todo los «extras» de cada uno de ellos, que llevaban por defecto, que adicionales me llamaban más la atención, etc.

Antes de nada, para quién no lo sepa, explicaré la diferencia entre los dos dispositivos, que como habréis comprendido es esa letra N o D.

Básicamente un NAS es un Network Attached Storage, que sencillamente es una aparato al que se le añaden unos discos duros, según bahías tenga, y se conecta a la red interna o red LAN mediante un cable Ethernet.

Mientras que un DAS es el llamado Direct Attached Storage que sin saberlo, lo habréis usado prácticamente todos, porque es un dispositivo donde se le incluye un disco o varios y se conecta al ordenador, portátil o servidor mediante un cable USB.

Sabiendo esto, comentaré un poquillo las ventajas de cada uno de ello según mi opinión:

NAS

• Lleva incluido prácticamente un sistema operativo para la gestión del dispositivo. Puedes levantar un servicio Web en dos clics o instalar contenedores de Docker sin despeinarte.
• Es un ordenador con su propio sistema operativo.
• Permite acceder a los archivos desde internet (tu propia nube), ya que está conectado a través de un cable Ethernet. Simplemente compartir y después de unos ajustes, tendrás todo accesible desde fuera.
• Fácilmente configurable desde un navegador.
• Está enfocado desde el usuario sin conocimientos o novel hasta usuarios más avanzados.

Como negativo valoré solo valoré su precio. Un NAS suele ser caro y además hay que comprar los discos aparte, hay alguna opción que los incluye, pero marcas más desconocidas. Por lo que su rentabilidad puede ser a la larga dependiendo de varios factores como el uso, etc.

DAS

• Suele ser menos costoso que un NAS por norma general, ya que el costo por Gigabyte se nota.
• Ofrece velocidades más rápidas que un NAS, y
• Su instalación es muy sencillo, conectar y listo.

Como desventaja o parte negativa, que su puesta en marcha para compartir tus aplicaciones ya sea en Docker o no, almacenar tus fotos desde el móvil en el DAS, etc. Requieren de un ordenador, mini-pc, RaspberryPI, etc., para dar estos servicios. A parte de su configuración manual.

Teniendo esto claro, se podría decir que un NAS es para todos los públicos si nos decidimos por almacenar datos y tenerlos disponibles o accesibles desde internet, con nuestras aplicaciones de móvil, etc. Mientras que un DAS, si solo queremos almacenar y usar en casa, perfecto, pero si queremos usarlo para compartir datos, tener nuestras apps auto alojadas en él y servirlas a internet, la cosa se complica y hay que tener ciertos conocimientos. No excesivamente, porque cada vez esto va siendo más usable, pero requiere un aprendizaje inicial más durillo que un NAS.

Decisión

Finalmente revisando precios del dispositivo en sí, más discos duros y teniendo en cuenta mis conocimientos en sistemas, me decidí adquirir un DAS. La mejor decisión al contar ya con un Mini-PC como servidor, con sistema operativo Debian 12 y con el que podría administrar el DAS una vez conectado por USB 3.2, para dar una gran velocidad de manera casi inmediata.

La marca que me convenció y compré fue Terramaster y el modelo el D2-320, con dos bahías y una capacidad total de 44 Tb. Con lo que podré ampliarlo a futuro. Ahora mismo tengo mis dos antiguos discos de 500 Gb cada uno añadidos al DAS, pero en breve me haré con dos de mayor tamaño.

Lo bueno de este modelo, es que trae incluido la opción de configurar RAID desde hardware, simplemente cambiando la posición en la parte trasera. Fue una de mis decisiones más acertadas, ya que aunque se podría gestionar también sencillamente desde Debian con «mdmam», una cosa menos y la fiabilidad de Terramaster en este aspecto, me dio el impulso.

La configuración actual es un RAID 1 en espejo, para tener la máxima protección a nivel de rotura de un disco, ya que si fuera así, no perdería nada.

Finalmente destacar sus pequeñas luces led en verde, que indican que está el dispositivo encendido y otros dos para indicar que los HDD están conectados y funcionando. Cuando parpadean es que se está escribiendo/leyendo en ellos.

En definitiva, si queréis ahorraros dinero, os gusta trastear y montar vuestras cosillas «selfhosting» desde vuestro mini-pc, RaspberryPI, OrangePI, lo que sea… no necesitáis un NAS con el SO incorporado, os basta un DAS conectado por USB a vuestro servidor y desde ahí podéis tener todo lo que queráis.

Por ejemplo en mi caso, este blog que estás leyendo está servido directamente desde el DAS conectado por USB a mi servidor Debian, al igual que otras numerosas apps, además de mis backups, storage de fotos, etc. Seguramente muestre en otro post, como está todo montado.

Información adicional

Es importante decir, ya os decantéis por un NAS o un DAS, que ahí es donde almacenaréis todos vuestros datos personales, fotos, películas, documentos, backups, etc. Por ello, como último consejo, el hardware que compréis hacedlo de una marca conocida, sobre todo si vais a usar algún tipo de RAID. La gestión de estos dispositivos es realmente importante al igual que te alerte cuando un disco pueda estar fallando y te evite la pérdida de información.

Por ello mi último consejo es que optes por alguna de estas marcas (no me pagan ni me han regalado nada) pero por comentarios, análisis, etc. suelen ser las mejores opciones:

Para NAS principalmente estarían Synology o QNAP, son carillos, pero son realmente fiables y además tienen sus propias apps para hacer backups de fotos desde el móvil, etc.

Para DAS mi elección iría a Terramaster aunque sería buena tercera opción para NAS y como alternativa Orico.

Mas allá de esas cuatro marcas, depende de vosotros.

Espero que os haya gustado y si tenéis alguna pregunta, cuestión, duda… siempre podéis usar los comentarios de abajo

¡Nos vemos por el Fediverso!

Después del revuelo por esa noticia oficial, aunque ya era algo que se veía venir por la falta de actualizaciones en la aplicación desde hace meses, muchas voces han salido a la palestra asegurando la continuidad del mismo.

Hasta entonces, cuando algunos desarrolladores tomen posiciones y comiencen a gestionar y a poner en orden todo, el proyecto pasa a estar en modo mantenimiento. ¿Y qué significa esto? pues básicamente que únicamente se arreglarán fallos existentes y aquellos que puedan surgir mientras se revisan perfiles para dar una continuidad.

Versión de mantenimiento

Y con esa noticia y con la pereza que me da cambiar de aplicación, para mover posteriormente todo lo que tengo ella almacenada a esa otra, pues voy a dejar un pequeño tip para instalar desde cero la nueva nueva versión a través de Docker. Ya que si probáis los pasos previos de días atrás, no os servirán.

Incluso chequeando hoy la página oficial, han eliminado toda la información y han añadido un simple enlace a la cuenta oficial de Github hace apenas un día:

Docker compose

A continuación os dejo el fichero de docker-compose.yml que os servirá para instalar Filebrowser sin problemas o bien para actualizar el que tengáis ya instalado.

Básicamente lo que he hecho ha sido seguir las indicaciones de su espacio para la instalación (enlace), pero que os dejo a continuación bien explicadito:

services:
  filebrowser:
    image: filebrowser/filebrowser:v2-s6
    container_name: filebrowser
    volumes:
      - /folder/to/filebrowser/data:/srv
      - /folder/to/filebrowser/config:/database
      - /folder/to/filebrowser/config:/config
      - /folder/data/filebrowser/config/branding:/branding
    environment:
      - TZ=Europe/Madrid
      - PUID=1000
      - PGID=1000
    ports:
      - 8095:80
    restart: unless-stopped

Lo nuevo que hay que incluir en el fichero docker-compose.yml sería esto:

• image: filebrowser/filebrowser:v2-s6
  Aseguraros que añadís la imagen de v2-s6 que es la última versión actualizada en el Hub de Docker. Como alternativa que también está actualizada podéis usar la s6. En cuanto a «latest» y otras opciones, me han dado ciertos problemas y no me han funcionado sobre todo al crear la base de datos.

• /folder/to/filebrowser/data & /folder/to/filebrowser/config
  Estas carpetas cambian un poquillo, si antes en la versión había que añadir el fichero de la base de datos en el raíz y además crearla con anterioridad con un touch, ahora ya no es necesario. Esta imagen funciona bien.
  
  En cuanto a la ruta de /folder/to/filebrowser/data es la ubicación donde tenemos nuestros datos y /folder/to/filebrowser/config/branding es la carpeta donde añadiré mi logo y favicon que quiero usar con Filebrowser. Esta carpeta es opcional. Para saber más de esto sobre configuración podéis visitar este enlace.

• – 8095:80
  Ese será el puerto en el que queréis mostrar la aplicación. Seguramente tengáis un Reverse Proxy, si es así, únicamente cambiáis ese puerto por el que queráis y tengáis libre. Con eso funcionará.

Por último, ya solo os queda hacer correr el docker con docker compose up -d y andando.

Ahora ya tenéis la versión de mantenimiento de esta gran aplicación que por el momento no tendremos que modificar hasta que salga de este estado y se comience a desarrollar el proyecto en nuevas mejoras, rendimiento, etc.

¡Nos vemos por el Fediverso!

El servidor proxy inverso siempre se sitúa por delante de los servidores/servicios web que tengamos en el servidor y es el que se encargará de reenviar las solicitudes que reciba hacía los servicios alojados. Es por ello, que es el servicio que tenemos que configurar primeramente es este.

Para instalar este proxy necesitaremos de la última versión LTS de NodeJS, la cual descargaremos desde un repositorio. Por defecto, en Debian 12 viene la versión 18 que serviría, pero siempre me gusta tener actualizada la aplicación a la última versión LTS (Long Term Support) que exista, en este caso la versión 20.

Antes de nada y como práctica habitual, primero haremos un update y upgrade para dejar el sistema actualizado hasta ese mismo momento. Lanzamos los comandos pertinentes:

sudo apt update && sudo apt upgrade -y

Después ya podemos ir a la página del repositorio llamado NodeSource de NodeJS (https://deb.nodesource.com) desde donde podremos descargar e instalar la última versión LTS de esta herramienta. En su página veremos lo sencillo que es, básicamente tendremos que copiar/pegar dos líneas.

Pero antes de lanzar estas dos líneas, habrá que instalar el comando curl ya que por defecto no viene instalado por Debian.
Lanzamos la instalación:

sudo apt install curl

curl -fsSL https://deb.nodesource.com/setup_20.x | sudo bash -
sudo apt-get install -y nodejs

Si todo ha ido bien, podemos ver que ya lo tenemos instalado:

jmdlr@debian:~$ curl --version
curl 7.88.1 (x86_64-pc-linux-gnu) libcurl/7.88.1 OpenSSL/3.0.11 zlib/1.2.13 brotli/1.0.9 zstd/1.5.4 libidn2/2.3.3 libpsl/0.21.2 (+libidn2/2.3.3) libssh2/1.10.0 nghttp2/1.52.0 librtmp/2.3 OpenLDAP/2.5.13
Release-Date: 2023-02-20, security patched: 7.88.1-10+deb12u5
Protocols: dict file ftp ftps gopher gophers http https imap imaps ldap ldaps mqtt pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS brotli GSS-API HSTS HTTP2 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM NTLM_WB PSL SPNEGO SSL threadsafe TLS-SRP UnixSockets zstd

Con esto ya estaríamos listos y podemos lanzar las dos líneas que ponían en la página del repositorio:

curl -fsSL https://deb.nodesource.com/setup_20.x | sudo bash -
sudo apt-get install -y nodejs

Terminada la instalación, toca comprobar que la versión instalada de NodeJS es la que queremos, en este caso la 20 LTS.
Ejecutamos el siguiente comando para visualizar la versión:

jmdlr@debian:~$ node -v
v20.13.1

¡Bien hecho! Ahora ya solo toca instalar el proxy, para ello vamos a la página oficial de GitHub de NPM para ver la última versión disponible he instalarla.

• https://github.com/NginxProxyManager/nginx-proxy-manager

Vamos a seguir exactamente los pasos que se indican ahí, que de manera resumida son las siguientes.

Creamos un fichero docker-compose.yml:

vi docker-compose.yml

Añadimos el siguiente contenido:

version: '3.8'
services:
  app:
    image: 'docker.io/jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

Estamos indicando en el fichero qué:

• Usaremos la última imagen disponible que exista del NPM,
• Abriremos los puertos 80, 443 y 81 para el dashboard de administración de la app, y
• Se crearán las siguientes carpetas de «data» y «letsencrypt».

Salvamos el fichero (:wq!) y lo ejecutamos:

docker compose up -d

Esto tardará un ratillo entre que descargar la imagen, configura, etc. Al final tendrá que indicarnos con checks de color verde, que todo ha ido bien.
Para confirmarlo podemos ver en qué estado está la aplicación dentro de docker, para ello ejecutamos lo siguiente:

docker ps

Y tendría que devolvernos que el contenedor de la aplicación está corriendo como podremos ver en la columna de «Status», que dirá el tiempo que lleva levantado:

jmdlr@debian:~$ docker ps
CONTAINER ID   IMAGE                             COMMAND   CREATED          STATUS          PORTS                                                                                  NAMES
016fdef7c34a   jc21/nginx-proxy-manager:latest   "/init"   57 seconds ago   Up 55 seconds   0.0.0.0:80-81->80-81/tcp, :::80-81->80-81/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp   jmdlr-app-1

Si esto es así, el servicio estará levantado, probemos directamente lo que nos dice el puerto 80.
Abrimos un navegador en nuestro equipo y atacamos a la IP de nuestro servidor en mi caso será la IP 192.168.1.12:

Ahora vamos a ir a la página de administración de NPM que por defecto se configura en el puerto 81 y nos devolverá esta ventana de «login»:

Para acceder, como se indica en la página oficial tendremos que utilizar estas credenciales de abajo, que posteriormente nos obligarán a cambiar la primera vez que accedamos, al igual que el nombre, usuario y dirección de correo electrónico.

• Usuario: admin@example.com
• Contraseña: changeme

Añadimos la información que queramos poner y daremos al botón de «Save». Y ya estaremos en la página principal desde la que gestionaremos los diferentes apartados de nuestro proxy.

Y hasta aquí toda la instalación de nuestro proxy, seguiremos en próximos artículos con la instalación de los diferentes servicios que queramos tener disponibles en nuestro servidor y veremos como debemos configurar NPM para que las peticiones sean redireccionadas según al servicio que se quiera acceder.

¡Nos vemos por el Fediverso!

Siempre me gusta instalar las últimas versiones de software disponible y aquí no haré la excepción por lo que instalaremos la última versión disponible de docker que haya, por lo que usaremos los repositorios de este para conseguir dicha versión.

Primero instalaremos los paquetes de ca-certificates y gnupg:

sudo apt install ca-certificates gnupg

Creamos una carpeta para almacenar los keyrings:

sudo install -m 0755 -d /etc/apt/keyrings

Descargamos la clave PGP y la almacenamos en la ruta anterior:

curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

Otorgamos permisos al fichero que hemos descargado:

sudo chmod a+r /etc/apt/keyrings/docker.gpg

Configuramos el repositorio que usará docker:

echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Ahora ejecutamos una actualización con update / upgrade para refrescar los repositorios y finalmente lanzaremos la instalación de Docker con todos los paquetes recomendados (sobre todo docker-compose):

sudo apt update && sudo apt upgrade -y
sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Por último, comprobamos que se ha instalado adecuadamente:

sudo docker run hello-world

Si todo va bien saldrá lo siguiente en pantalla:

jmdlr@debian:$ sudo docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
c1ec31eb5944: Pull complete
Digest: sha256:266b191e926f65542fa8daaec01a192c4d292bff79426f47300a046e1bc576fd
Status: Downloaded newer image for hello-world:latest

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:
 1. The Docker client contacted the Docker daemon.
 2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
    (amd64)
 3. The Docker daemon created a new container from that image which runs the
    executable that produces the output you are currently reading.
 4. The Docker daemon streamed that output to the Docker client, which sent it
    to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
 $ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID:
 https://hub.docker.com/

For more examples and ideas, visit:
 https://docs.docker.com/get-started/

Finalmente podemos ver que tenemos la última versión instalada:

jmdlr@debian:~$ docker -v
Docker version 26.1.3, build b72abbb

Ahora quedará configurar docker para poder usarlo con nuestro usuario, ya que tener que usarlo con «root» puede ser tedioso la vez que inseguro.
Vamos a por ello entonces.

Creamos un grupo para docker:

sudo groupadd docker

Es posible que nos salga que ya lo hemos creado, si es así, seguimos para adelante, añadimos nuestro usuario a ese grupo de docker:

sudo usermod -aG docker jmdlr

Para que se apliquen los cambios tenemos que deconectar y volver a conectar con nuestro usuario. Esto es importante o no podremos utilizar docker. Lo hacemos.
A la vuelta probamos si ya podemos ejecutar docker con nuestro usuario:

docker run hello-world

Si todo ha ido bien veremos en la pantalla eso de «Hello from Docker!»

Y con esto estaría todo por el momento, ¡seguiremos construyendo nuestro servidor self-hosting en próximos capítulos!

¡Nos vemos en el Fediverso!

Así pues, os explicaré el proceso de fijar una IP estática en Debian de manera sencilla y rápida.

Lo primero será conectar al servidor con la IP dinámica que le haya asignado vuestro router después de haberlo instalado, en mi caso es la IP 192.168.1.128 y con mi nombre de usuario que utilicé al instalar el servidor:

ssh jmdlr@192.168.1.128

Si es la primera vez que accedemos nos dirá si queremos salvar el fingerprint, damos que «Yes» y seguimos adelante. Nos pedirá la contraseña de nuestro usuario y ya estaremos dentro:

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon May 27 14:24:51 2024 from 192.168.1.112
jmdlr@debian:~$

Ahora averiguaremos el nombre de la interfaz de red que tenemos que modificar y que usaremos con la IP estática que queremos, para ello lanzamos el siguiente comando para saber cuál interfaz tiene nuestra IP dinámica configurada:

jmdlr@debian:~$ ip a | grep inet

Nos devolverá todas las interfaces de nuestro equipo y tendremos que ver cual es la que tiene nuestra IP dinámica. En el ejemplo de abajo, veremos que es la tercera líneaque tiene la IP acaba en 128 (en la vuestra será una diferente) y está configurada en la interfaz enp0s31f6.

jmdlr@debian:~$ ip a |grep inet
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host noprefixroute
    inet 192.168.1.128/24 brd 192.168.1.255 scope global dynamic enp0s31f6
    inet6 fe80::3641:5dff:feb6:cadd/64 scope link

Con esta información modificamos el fichero correspondiente /etc/network/interfaces
Hacemos un vi o un nano sobre el fichero según nuestra configuración:

sudo vi /etc/network/interfaces

Comando SUDO

Si no tenemos instalado «sudo» en Debian, ya que no viene instalado por defecto, tendremos que instalarlo con el siguiente comando:

su - root
Contraseña:
apt install sudo

SUDO para nuestro usuario

Nuestro usuario no tendrá privilegios de «root», por lo que tendremos que otorgárselos de la siguiente manera.
Tecleamos la palabra visudo y accederemos a la configuración de «sudo» y buscamos la línea que ponga:

# User privilege specification
root    ALL=(ALL:ALL) ALL

Debajo de esa línea, añadimos otra línea igual pero comenzando con el nombre de nuestro usuario y quedaría así:

# User privilege specification
root    ALL=(ALL:ALL) ALL
jmdlr   ALL?(ALL:ALL) ALL

Salvamos el fichero y ya tendremos privilegios de «sudo» para nuestro usuario.

Ahora sí, tendría que funcionar el comando de arriba.
Salimos primero del usuario root tecleando la palabra «exit» y ahora con nuestro usuario escribimos:

sudo vi /etc/network/interfaces

El contenido será más o menos el siguiente:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s31f6
iface enp0s31f6 inet dhcp

La última línea de iface la comentaremos, ya que es la que asigna una IP dinámica a la tarjeta, y añadiremos las siguientes líneas:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s31f6
# iface enp0s31f6 inet dhcp

iface enp0s31f6 inet static
address 192.168.1.12
netmask 255.255.255.0
gateway 192.168.1.1

• La primera línea tendremos que cambiar dhcp por static.
• La segunda línea de address pondremos la IP local que queremos que tenga el servidor, en este caso puse la acabada en 12.
• La tercera línea de netmask será normalmente la 255.255.255.0 pero dependerá de cómo tenemos configurada nuestra red, y
• La cuarta línea de gateway será la puerta de enlace que corresponde a la salida a internet de nuestro router, en mi caso la IP acabada de 1.

Salvamos el fichero con :wq! si estamos con vi o control+x si estamos con nano.

Ahora toca reiniciar nuestro servicio de red para que aplique los nuevos cambios introducidos en el fichero de configuración de las interfaces:

sudo systemctl restart networking.service

Si todo va bien, perderemos la conexión con el servidor y podremos conectar con la IP estática que le hayamos configurado. En mi caso la acabada en 12.
Así pues, pruebo a conectar por SSH a dicha IP:

ssh jmdlr@192.168.1.12

Nos pedirá el nuevo «fingerprint», le damos de nuevo a «Yes». Ahora nos pedirá la contraseña de nuestro usuario y si todo es correcto, estaremos dentro del servidor con la IP estática correctamente configurada:

root@Azeroth:~# ssh jmdlr@192.168.1.12
The authenticity of host '192.168.1.12 (192.168.1.12)' can't be established.
ED25519 key fingerprint is SHA256:7cy7D1pkU1TDWae14QQCkQPk2yHCR3l0+7DlT2h1osk.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:3: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.1.12' (ED25519) to the list of known hosts.
jmdlr@192.168.1.12's password:
Linux debian 6.1.0-21-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.90-1 (2024-05-03) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon May 27 15:09:16 2024 from 192.168.1.114
jmdlr@debian:~$

Con el siguiente comando podemos ver las interfaces de red y veremos que la tercera línea tiene la IP 12 en mi caso que configuré en la interfaz llamada enp0s31f6.

jmdlr@debian:~$ ip a | grep inet
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host noprefixroute
    inet 192.168.1.12/24 brd 192.168.1.255 scope global enp0s31f6
    inet6 fe80::3641:5dff:feb6:cadd/64 scope link

Con esto ya tendríamos configurada la IP estática, que es uno de los primeros pasos imprescindibles para posteriormente montar diferentes servicios en nuestro servidor self-hosted.

¡Nos vemos por el Fediverso!

La situación es alarmante si te quedas a pensar en ello por un momento, por ese motivo siempre habrá que intentar poner muros, defensas, aduanas ante ello, para tener más control sobre nuestra información. Y es por ello, que empiezo este pequeño proyecto de self-hosting desde mi blog, por que si no podemos evitar que nuestra información personal se filtre y alguna la tengan por defecto (nuestro correo electrónico), si al menos, mantengamos nuestros datos, ubicados en nuestra misma casa con nuestro hardware, de manera segura y sin muchas parafernalias.

Esto solo pretende ser una guía de cómo hacerlo, no será la verdad verdadera. Una vez sepáis como funciona esto del «self-hosting» o «self-hosted» si queréis añadir más dificultad, más componentes, más servicios, diferentes vlans, etc. Eso correrá de vuestra parte. Por mi lado, aquí explicaré una configuración básica con lo que empezar y con servicios de «más uso».

¿Qué vamos a montar?

Una mini-arquitectura en nuestra ubicación local para tener diferentes servicios, que ahora tendréis externalizados prácticamente en su totalidad o a lo mejor algunos de ellos y de esta manera tenerlos en vuestra propia vivienda, local, etc. Mostraré la instalación de los diferentes componentes y servicios utilizando apps de Software libre paso a paso en su mayoría (tengo Emby aun por aquí rondando). Y añadiremos la seguridad que sea necesaria para evitar cualquier problema.

La intención, explicada de manera breve y rápida, es montar un pequeño servidor con un proxy inverso y detrás de él unos cuantos servicios que pueden ser más o menos interesantes para vuestro uso diario. Estos servicios que he pensado (pueden ser modificados durante las diferentes entradas en el blog) que podrían ser interesantes para instalar en nuestro servidor serían los siguientes:

• Un buscador como puede ser SearXNG para realizar búsquedas seguras,
• Un agregador de enlaces rss para estar informados de noticias, blogs, que nos interesen como puede ser FreshRSS,
• Una plataforma de mensajería para comunicarnos de manera segura como SimpleX,
• Una plataforma de blogs para escribir y compartir nuestras cosas, bien con WordPress, Ghost o Bludit,
• Una pequeña nube de alojamiento de ficheros con otras opciones como puede ser FileBrowser, Nextcloud, etc,
• Una aplicación de monitorización para controlar nuestro sistemas como Uptime Kuma, Umami, etc,
• Un protector DNS para quitar basura en nuestra red local como Pi-hole,
• Un centro multimedia para ver nuestro contenido privado de vídeos, fotos… que podemos hacer con Emby o Jellyfin, y
• Muchas más cosas si hay interés en montarlo.

¿Qué necesitamos?

Pues varias cosas, pero en resumen los requisitos mínimos serían:

• Red eléctrica (¿obvio no?)
• Conexión a internet, preferentemente fibra aunque si tenéis ADSL… ¡pues no queda otra!
• Una RaspberryPI 3B o versión superior o bien algún portátil, PC viejo, etc. Recomiendo una Raspberry o algo similar por el consumo de red eléctrica.
• Un MiniPC o NUC, si vamos a querer añadir bastantes servicios, lo mejor en cuanto a rendimiento, coste de luz, etc. sin duda necesitamos este hardware. También podría servir una RaspberryPI de las últimas o una OrangePi, pero sigo opinando que por precio/rendimiento un minipc es mejor inversión. Pero para gustos los colores. Como otra opción también sería tener varias Raspberry/OrangePi y distribuir los servicios por ellas… la arquitectura puede ser flexible como veis.

Por mi parte usaré lo siguiente de lo expuesto anteriormente: Red eléctrica, conexión vía fibra, RaspberryPi 3B+ y Mini-PC (GK41).

Servicio a servicio

Comenzaré en breve a publicar los diferentes posts sobre este proyecto e iré pasito a pasito pero sin prisa, aunque tampoco sin pausa. La idea ir haciendo todo esto a la vez que voy modificando toda mi red interna de casa, que no está como quisiera y que quiero dejarla mejor de lo que está. Aquí os dejo el artículo que publiqué del estado actual de mi red: http://mindeka.duckdns.org/2020/05/23/red-interna-de-casa/.

Así que aprovechando el cambio que quiero hacer de todo, utilizaré mi blog para ir publicando todo y si alguien más quiere dar el salto y auto-alojarse sus servicios pueda hacerlo. Dejo aquí el dibujo final que hice de cómo quedará mi red interna algún día de estos, únicamente exponiendo dos a internet y dentro tener una mini-infraestructura ser microservicios para dar soporte a mi familia y a mi mismo.

Y poco más gente, a futuro ya hablaremos de ciertos «pros» y «contras» de tener esto auto-alojado localmente para que podáis decidir si es buena idea para vosotros o no según bastantes factores.

¡Nos vemos por el Fediverso!

Hoy trataremos como dice el artículo, como acceder a nuestro servidor vía ssh sin contraseña pero sí con nuestra propia clave pública/privada.

Creando nuestra clave

La clave se generará en nuestro ordenador de sobremesa, portátil… en definitiva desde el cual accederemos al servidor X.

Generamos nuestra clave:

$ ssh-keygen -b 4096

Con el parámetro -b indicamos que queremos que sea una clave robusta de 4096 bits. Con 2048 bits sería suficiente, pero me gusta ser un tipo duro
Durante la generación nos hará una serie de preguntas que tendremos que responder si queremos cambiar algo o bien dejar por defecto:

jmdlr@casa:~$ ssh-keygen -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jmdlr/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jmdlr/.ssh/id_rsa.
Your public key has been saved in /home/jmdlr/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:e1S4R43AcFqR3NADcOtS4wDth2RYAojBQp3E28WUGIQ jmdlr@casa
The key's randomart image is:
+---[RSA 4096]----+
|+++o=+B===OB     |
|o..E ..*+=+++o   |
|.   o .+o.= +..  |
|   . .  o=.=     |
|        S.= .    |
|         + .     |
|        . .      |
|         .       |
|                 |
+----[SHA256]-----+

Breve explicación de cada pregunta:

• Enter file in which to save the key (/home/jmdlr/.ssh/id_rsa): Ubicación donde se almacenará nuestra clave tanto privada como pública. Se puede modificar pero no es necesario.
• Enter passphrase (empty for no passphrase): Se puede añadir una frase por si quieres fortalecer la seguridad de tu clave. Por experiencia dejadla en blanco, terminaréis por olvidarla si no la apuntáis y tendréis que generar una nueva. El resto de líneas solo confirman que se han creado las claves con tu figerprint asociado. Ya estaría lista.

Consultando nuestra clave pública

Ahora ya podremos ver nuestras claves generadas, si no hemos cambiado la ruta por defecto estará en una carpeta oculta dentro de la «home» de nuestro usuario llamada .ssh/

Ahora tendríamos que ir a nuestra «home» en mi caso es /home/jmdlr y luego acceder a la carpeta oculta .ssh:

$ cd /home/jmdlr/
$ cd .ssh/
$ ls -lrth
total 8.0K
-rw------- 1 jmdlr jmdlr 3.2K Mar 30 00:42 id_rsa
-rw-r--r-- 1 jmdlr jmdlr  736 Mar 30 00:42 id_rsa.pub

Veremos que tenemos dos ficheros que tienen por nombre id_rsa. Una de ellas es la clave privada (id_rsa) la cual NO tendremos que compartir y luego la clave pública (id_rsa.pub) que es la que subiremos a nuestro servidor o al servidor que deseemos acceder sin que nos solicite password. Echamos un vistazo a la clave pública:

$ cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDDGnQn+2Jld5Y/822sLmZc/1PC0+gm3ORtbRPEUvzuqMIMOVg2ImZPApj/d7+K57MP
y7pQDn/iwi3QkLzpf/tL9LXF2+FouzVsSeZgR1dd7+3QGTMPch+5hXZxuims+zZOLFuXqXzhb00TSMbH5yVBH1gv+qCZj7N/DvRgok+2
Fae1I+Fr0/7ALIaLfFEo5CYfrUNyfuD0ZpJ9GIrv6+sBWbCOomzuw5SMIccbX4VQ+DLmEoMwl3A3GQf3yNrAtjjolPm1zJ0YAd+Kr5UW
REugxTgLslnMHFVozPn5byuj2fT4dQPiB0Zj/mzQf+BWGaT+lI3P/P08mG0gdpD39MUiKGjh0XYbQQh731cnMJK1gTzphPyinROv4S/P
j1HFhSEAbsZJP9l/ZyVi1qupTOFocWEQf0o4yNsVpogDpUQJwEyG5ftQDsmjbHD5EQRMFXktnItdSqhbTVL+qSiB96Jd66CV9+bklUQb
p9w3pT0beZDrKQdPKmrlRYS2MeZB1z5kMnDTm/C1fSDHAuqYAxCyZTBc3ncBpzW7AnWczUdk0zIiToGVs8wE16suGWqlZA2gGLIkY3Ld
vAkzgm9HBIosgZVEPABN4nbMAqv/NqXJd2/e6cFICllX8YhyBcYL9OfwFPK6OUxQg0AKk/rJwSO6aGxDOIHVY16+DvwuQRx1SQ==jmdl
r@casa

Ese texto es lo que tenemos que copiar en todos los servidores remotos a los que queramos conectar vía ssh, pero para hacerlo más fácil, existe un comando que nos ayudará a copiarlo.

Copiando la clave pública al servidor

Simplemente usaremos el siguiente comando desde la ruta donde tenemos nuestra claves.

$ cd /home/jmdlr/.ssh
$ ssh-copy-id -i id_rsa.pub usuario@IP_servidor_remoto

Donde aparece usuario tendremos que poner nuestro nombre de usuario que utilizamos para acceder al servidor y donde aparece IP_servidor_remoto la dirección IP o el registro DNS que nos de acceso al servidor donde queremos añadir nuestra clave pública. En mi ejemplo, accediendo con mi usuario «jmdlr» sería así:

$ cd /home/jmdlr/.ssh
$ ssh-copy-id -i id_rsa.pub jmdlr@10.5.1.5

Y si todo va bien me diría lo siguiente hasta preguntarme cual es mi password del usuario para acceder por primera vez:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

jmdlr@10.5.1.5's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'jmdlrk@10.5.1.5'"
and check to make sure that only the key(s) you wanted were added.

En el paso que solicita el «password» tendremos que añadirlo y para la próxima vez que queramos acceder tendremos que hacer lo que indica más abajo, simplemente teclearemos ssh jmdlr@10.5.1.5 y estaremos dentro sin solicitarnos contraseña alguna.

Espero que os haya sido fácil de seguir, cualquier cosilla preguntadme a través de Mastodon/Firefish o Bluesky:

• Mastodon
• Bluesky