Tengo que decir que no he dejado de utilizar algunas herramientas de las big-techs porque me ha sido imposible por varias razones, que si tengo tiempo ya explicaré en otro artículo, aunque hay muchos blogs del Fediverso hablando de ello y son prácticamente las mismas razones.

En definitiva, me gustaría que este artículo sirva para dar una pincelada de en qué estado están mis servicios, con una lista, su uso y finalmente dar un pequeño resumen de lo que ha sido el año y también los próximos pasos.

Estado actual

Ahora mismo mi «homelab» está totalmente actualizado, con sus copias de seguridad correspondientes, aunque quiero ver la opción de realizar una copia «fuera» de mi casa, ya que ahora mismo tengo una copia en el mismo servidor y otra copia en mi DAS, pero como es recomendado, hay que tener otra copia fuera de la ubicación principal, por eso estoy mirando opciones para contratar algo en algún proveedor.

Por lo demás, ahora mismo tengo corriendo unos cuantos servicios que enumeraré a continuación y que me han servido para «independizarme» en muchos aspectos.

• 13ft (https://github.com/wasi-master/13ft): Una aplicación que evita los «paywall» o más conocidos como «Muros de pago», que restringen el acceso a cierto contenido para suscriptores. Funciona de maravilla y cero problemas.
• Beszel (https://www.beszel.dev): Aplicación realmente liviana para monitorizar tus servidores, donde podrás tener todo tipo de estadísticas sobre tus componentes, uso de memoria, CPU, cuánto consumen tus servicios, histórico, información sobre tus contenedores, etc. Un «must-have«.
• Dockge (https://github.com/louislam/dockge): La alternativa a Portainer mucho más liviana, sencilla de utilizar y muy flexible. Me enamoré de ella tras un cambio en docker que afectó a Portainer y probando una alternativa di con esta. Del mismo creado de «Uptime Kuma».
• Docmost (https://docmost.com): Si buscas un Wiki para almacenar tu información, guías, textos, lo que sea… no hay nada mejor. Rápida, fácil de usar, con markdown, muy parecido a Notion… cuando la pruebes te quedarás con ella.
• Emby (https://emby.media): Muy buen media-server en el que se basó Jellyfin (o eso tengo entendido). No he cambiado a este último porque mi televisión Samsung no tiene una aplicación nativa de Jellyfin para el OS de Samsung y para lo que lo uso, más que suficiente. Tiene algunas opciones de pago, pero no las utilizo para mi día a día. Funciona realmente bien, como alternativa a Jellyfin, lo dicho, lo mejor.
• Excalidraw (https://excalidraw.com): Una «pizarra» para dibujar lo que quieras, minimalista y sencilla respecto a otras alternativas. La utilizo tanto a nivel personal como laboral, para dibujar rápidamente bocetos, ideas, etc. Incluso para compartir y explicar «flujos» de trabajo con compañeros, etc. La uso a diario.
• FileRise (https://github.com/error311/FileRise): Lo último que he instalado en mi servidor. Sigo buscando la alternativa a Filebrowser y me comenció esta por que lleva incorporado WebDav, aunque sigo el mismo problema, no vale compartir con «enlaces simbólicos» como si permitía FB. Lo tengo en modo «prueba» pero por su instalación y uso es muy sencillo. Posiblemente siga con ella aunque mi próxima prueba será con FileBrowser Quantum.
• Immich (https://github.com/immich-app/immich): ¿Qué puedo decir de esta app? El mejor gestor posible para tus fotos y videos que conozco. Sencillo de utilizar y con un montón de funciones que la hacen única. Por ella y por todo el contenido que pienso añadir en este año, tengo en mente el cambio en mis backups. Ellos mismos lo recomiendan aquí (https://www.backblaze.com/blog/the-3-2-1-backup-strategy/). Otro «must-have».
• Karakeep (https://karakeep.app): Uno de los mejores gestores de bookmarks que hay disponibles. Su capacidad para organizarlos, categorizarlos… lo hace indispensable. Lo utilizo diariamente ya que tengo añadidos todas las direcciones tanto personales como laborales y accedo desde cualquier dispositivo. Mi tercer «must-have».
• Navidrome (https://www.navidrome.org): Mi «spotify» personal y desde el año pasado desde el lugar que consumo la música que escucho. He alojado toda mi música «rippeada» y alguna otra adquirida de plataformas como Aloud Music o Bandcamp. Todo eso enlazado con Last.fm donde registro mis tendencias, etc. Mi música en un único lugar y disponible en cualquier dispositivo. ¡Top!
• Nginx Proxy Manager (https://nginxproxymanager.com): El proxy reverso por excelencia. Con las últimas actualizaciones aportando más seguridad y ciertas mejoras, y además con su nueva mejora en el aspecto visual… una delicia. Su uso sencillo y cómo lo hace, lo posiciona como la primera opción, como se reflejó en la encuesta realizada desde Selfh.st.
• Pi-Hole (https://pi-hole.net): ¿Qué se puede decir de esta app que no se haya dicho? El «todoterreno» en el mundo del Ad-blocking en tu red local. Sigue mejorándose día tras día y la cantidad de opciones la hacen como la opción más utilizada. Si bien le «ha comido» algo de terreno la alternativa de «AdGuard», sigue siendo el Rey, con un funcionamiento excelente.
• UptimeKuma (https://uptimekuma.org): Herramienta minimalista, sencilla de configurar para monitorizar todos tus servicios, tanto a nivel local como aquellas que sirvas públicamente en internet. Se puede integrar con otras aplicaciones para recibir alertas, problemas, etc… como por ejemplo con Discord, como lo tengo yo, para cuando haya algún problema, me avise. Otro «must-have» más a la saca
• WordPress (https://es.wordpress.org): Continua siendo mi plataforma favorita para gestionar este blog que estas leyendo. Sus actualizaciones y posibilidades adicionales con «plugins» lo hacen realmente potente. Ahora mismo, para mi, sigue siendo el CMS más potente.

Cambios en mi día a día

Todos esos servicios autoalojados durante 2025 seguirán durante este 2026, porque prácticamente utilizo a diario como he comentado, han hecho que deje de lado ciertas aplicaciones que utilizaba y me han dado más «independencia» y he quitado al «Gran Hermano» fuera.

Destacaría sobre todo Karakeep, porque si bien busco información en DuckDuckGo, Google, Ecosia… he cambiado en la forma de consumir ese contenido, ahora directamente voy a la página que quiero consultar, sin pasar por el buscador. Muchas veces os ocurrirá como a mi, buscar la página en el buscador de turno y pulsar en el enlace. El porcentaje de casos en los que hago eso se han reducido mucho.

Otro es el consumo de música, películas, series… sobre todo en este primero, de consumir Spotify, Apple Music, etc… he pasado a mi propia plataforma sin traza alguna, ni sugerencias, ni publicidad, además de que con ello tienes la opción de pagar directamente al creador por su trabajo, lo que para mí da un plus. Creo que he este año pasado compré más música que en años y a un precio realmente barato, 2€ algún disco entero. No hay color. Instala Navidrome este año.

Por último, Excalidraw y Docmost. Han supuesto para mí el «cambio». De alojar mis notas, textos, información en diferentes clouds o servicios de las big-techs, ahora solo lo alojo en mi servidor con Docmost. Y junto a ello, todos mis flujos mentales, dibujitos de mi red, de mis ideas, croquis de cualquier cosa… lo hago con Excalidraw que luego puedo exportar a otros formatos o consultar de manera sencilla, además de modificarlos al momento.

Próximos pasos para este 2026

Pero no todo es perfecto y para este 2026 quiero hacer más cosas, mejorar y conseguir mayor independencia poco a poco, para autogestionarme en todos los aspectos. Y creo que lo conseguiré con tiempo, paciencia y creciendo en este aspecto.

Mis próximos pasos y que serán mi objetivo para este año será:

• Securizar el entorno: Cada vez tengo más información personal que proteger, aunque casi todo lo sirvo por mi VPN (Tailscale), hay algunos servicios que por diferentes temas he tenido que publicar directamente a intenet. Un proxy reverso soluciona mucho este aspecto, pero quiero añadirle una capa adicional, ya sea un «firewall» o incluso los knock ports sobre lo que estuve leyendo y podría ser una alternativa realmente efectiva. Seguiré investigando.
• Ficheros compartidos y Calendario: Quiero abandonar Google en este punto, pero no he encontrado el gestor de ficheros idóneo tras Filebrower, podría ser FileRise y en ello esto. Por otro lado, el calendario con citas, notas, que utilizo con mi mujer, quiero sacarlo de Google para utilizar una aplicación self-hosted, estoy probando Baikal como alternativa. Espero conseguir este objetivo.
• Backup 3-2-1: Como he comentado antes, ya tengo en mente mejorar mis sistema de copias, porque quiero dar más uso a Immich y eso hace que haya que mejorar el sistema o la planificación de backups. Este punto será prioritario y comenzaré a trabajar desde ya.

Y poco más, espero que este artículo me sirva para recordar cómo empezó todo y si he conseguido durante este año nuevo los próximos objetivos que tengo en mente y que he plasmado al final. Por otro lado también, si le sirve a alguien para dar sus primeros pasos o «afianzarse» en la idea de ser más autosuficientes con sus propios servicios locales, que sirva esto de ejemplo de que es posible y que podemos tener un internet «más nuestro».

Cualquier pregunta, comentario o lo que sea, siempre serán bienvenidos

¡Nos vemos en el Fediverso!

Y sobre esto último es sobre lo que va este breve y sencillo artículo, ya que es algo que todos deberíamos hacer si tenemos nuestro servidor casero en casa o incluso si usamos un VPS para servir nuestras apps e información.

Los pasos son muy sencillos y conseguiremos que nadie nunca pueda acceder con «usuario/contraseña», ni siquiera nosotros mismos :). Por ello tendremos que tener cuidado y sobre todo probar nuestro acceso previamente con nuestra clave pública generada. Más adelante avisaremos en ese punto crítico para evitar sustos.

Configuración

Clave pública y privada

Lo primero será generar en nuestro equipo una clave pública y otra privada, esta última la copiaremos en nuestro servidor y con ellas podremos acceder desde ese equipo en concreto directamente. Si accedemos con varios equipos a nuestro servidor, tendremos que hacer lo mismo en cada uno de ellos.

Para crear las claves podéis seguir este artículo que escribí hace unos años donde explico todo paso a paso:

Si ya las tenéis creadas, podéis saltaros ese paso y seguir con el siguiente…

Pruebas de conexión

Este punto es el más importante, aunque en el artículo para crear clave pública y privada está explicado, tenemos que tener mucho cuidado y antes de desactivar la posibilidad de conectar por contraseña, tenemos que probar el acceso por clave pública y privada.

La prueba básicamente es lanzar una conexión por SSH a nuestro servidor, desde el equipo en el que tenemos nuestra clave pública, que será reconocida por la clave privada de nuestro servidor y nos dejará acceder. Para ello escribiremos esto desde la línea de comandos de nuestro servidor Windows/Linux:

ssh -i clave_publica.pub usuario@X.X.X.X

En el ejemplo de arriba, hay que tener en cuenta qué:

• -i este es el parámetro usado para decir al comando SSH que usaremos una clave pública para conectar. Siempre tendremos que indicar el fichero que contiene nuestra clave pública para conectar de esta forma.
• clave_publica.pub, es nuestra clave pública para usar, normalmente al crearla se ubica dentro de la carpeta de nuestro usuario seguido de la carpeta .ssh. Por lo que si queremos conectar tendríamos que poner «ssh -i .ssh/clave_publica.pub». Podemos copiar la clave pública en cualquier carpeta que queramos y el nombre del fichero también podemos cambiarla por el que queramos. Solo debemos tener cuidado de ponerlo bien todo a nivel de comando.
• usuario, el nombre de usuario con el que conectaremos a nuestro servidor y que utilizar esas claves pública y privada.
• X.X.X.X, la dirección IP privada o pública que corresponda con nuestro servidor.

Con eso la conexión a nuestro servidor, según pulsemos la tecla «Enter», debería ser directa, sin petición de ninguna contraseña.

IMPORTANTE: Si nos pidiera una contraseña, habría que revisar si estamos usando la clave pública correcta si tenemos varias, si estamos usando el usuario correcto, si la clave privada fue copiada correctamente en el servidor, etc. No desactivar el acceso por contraseña si esto sucede.

Si por el contrario, el acceso es correcto, nos encontraremos ya conectados con nuestro usuario y listos para añadir comandos y trabajar con nuestro servidor.

Deshabilitando acceso

Vamos ahora a deshabilitar el acceso mediante contraseña, esto lo haremos modificando el fichero de confirmación de SSH en nuestro servidor casero.

Lo primero será editar el fichero de configuración con permisos de root. El fichero es el siguiente y lo editaremos con nuestro editor favorito, en mi caso «vi»:

sudo vi /etc/ssh/sshd_config

Buscamos la siguiente línea en nuestro fichero:

#PasswordAuthentication yes

Seguramente se encuentre comentada con una almohadilla al inicio. Por lo que haremos dos cosas:

• Quitar la almohadilla para activarla, y
• Cambiaremos el «yes» por el «no»

La línea quedará así:

PasswordAuthentication no

Ahora salvamos el fichero y tocará reiniciar el servicio de SSH para que se apliquen estos cambios. No será necesario reiniciar y se aplicarán directamente los cambios.

Ejecutamos el siguiente comando para reiniciar:

sudo systemctl restart sshd

o con «Service» si tenemos una distribución linux sin SystemV:

service ssh restart

Y con esto ya estaría todo. Ahora solo quedaría que desconectarais y probar directamente el acceso con clave pública/privada.

Espero que esto os sirva para securizar un poco más vuestro servidor auto alojado

Preguntar, dudas o cuestiones como siempre en los comentarios.

¡Nos vemos por el Fediverso!

• https://www.mindeka.es

Porque está muy bien eso de decir «No a las big techs» pero luego siempre elegirlas por defecto, como hacen sobre todo las empresas… pues no es lo mío. Porque con su nombre de marca famosa, las facilidades con que lo ofrecen, hacen que a primera vista sean la mejor opción ya sea Google, Microsoft, Amazon… porque estos es como cuando vas a una frutería y ves las manzanas más rojas que el propio color rojo, te entran por la vista y ahí que vas con tu dinero.

En mi caso, como muchos de los compañeros que leo por Mastodon, queremos huir del monopolio de las tres o cuatro compañías tecnológicas que mueven el cotarro y eso conlleva al menos intentarlo buscando otras opciones. Además eso siempre quiero juntarlo a mi segundo ideal muy unido al primero, que es el de buscar la «soberanía digital» que deberíamos tener como país o como parte de la EU y también como persona única, sin ser observado como un producto. Con esto, pongo mi granito e intento siempre seguir avanzando con mis ideas poco a poco.

Con este dominio, ya no dependo del DNS dinámico de DuckDNS (que tengo que reconocer que funciona de maravilla y son unos cracks) y mi blog tiene su propio dominio .es. Junto a ello también usaré el dominio para otras apps que tengo auto alojadas. Así pues para dar vida a esto, me decidí por cdmon (https://www.cdmon.com/es), una empresa catalana y de la cuál algunos conocidos y amigos de otras empresas, me hablaron realmente bien e incluso me mostraron el panel, que con su simplicidad y facilidad de gestión me convenció.

Además añaden unos pequeños «extras» que para el auto alojamiento vienen que muy bien y explicaré las razones. No sé si en otras empresas ofrecen lo mismo (no lo vi la verdad o no leí todo, que puede ser), pero me parecieron verdaderamente interesantes:

• Con la compra del dominio te ofrecen gratis durante el primer año, tres dominios más, para utilizar junto al adquirido. Posiblemente no los uses, pero te pueden hacer un apaño si quieres utilizar un dominio adicional para determinadas apps de tu servidor o publicar en internet alguna otra cosa totalmente diferente al dominio principal.
• Un «Microplan» de hosting gratuito con 50 Mb y 1 Gb de transferencia mensual, sin PHP ni MySQL, pero que sirve por ejemplo para «plantar» una web de mantenimiento en caso de que te pongas a actualizar tu web en tu minipc, para informar a tus visitantes, o incluso para alojar algo muy concreto que no quieras tener en tu servidor local.
• Cuenta de correo básica y gratuita con 100 Mb, que sirve perfectamente para hacer pruebas con tu correo y si te convence dar el salto desde Google, Outlook, etc. y con SSL incluido. Por mi parte, lo voy a probar y seguramente de el salto para luego contratar más espacio, que por 4€/m ni tan mal.
• Y soporte 24×7 totalmente en español. No tengo problemas con el inglés, pero sinceramente, muchas veces explicar un problema muy específico puede ser un tedio. Esto para mí, es un plus.

Os dejo una captura del panel, muy simple y realmente llamativo. Todas las opciones están en la pantalla principal y «jugar» con ello es facílisimo.

Y poco más, por el momento ya he configurado mi blog, como ya estáis viendo, y también algún que otro servicio que quiero utilizar a través de internet desde diferentes localizaciones sin VPN configurada.

¡Nos vemos por el Fediverso!

Hace no más de un mes decidí sustituir mi pequeño NAS de la marca Iomega (ya no sé ni si existe esta marca) que me dieron en mi antigua empresa por los servicios prestados, porque no me pagaron una parte pero me «regalaron» esa pequeña maravilla de entonces. Acepté y hace poco también él aceptó la jubilación

Previo al cambio, como soy realmente «pesado» para comprar algo, estuve decidiendo que adquirir según mis necesidades. Estuve revisando precios en diferentes páginas generalistas y otras empresas de componentes e informática y valorando sobre todo los «extras» de cada uno de ellos, que llevaban por defecto, que adicionales me llamaban más la atención, etc.

Antes de nada, para quién no lo sepa, explicaré la diferencia entre los dos dispositivos, que como habréis comprendido es esa letra N o D.

Básicamente un NAS es un Network Attached Storage, que sencillamente es una aparato al que se le añaden unos discos duros, según bahías tenga, y se conecta a la red interna o red LAN mediante un cable Ethernet.

Mientras que un DAS es el llamado Direct Attached Storage que sin saberlo, lo habréis usado prácticamente todos, porque es un dispositivo donde se le incluye un disco o varios y se conecta al ordenador, portátil o servidor mediante un cable USB.

Sabiendo esto, comentaré un poquillo las ventajas de cada uno de ello según mi opinión:

NAS

• Lleva incluido prácticamente un sistema operativo para la gestión del dispositivo. Puedes levantar un servicio Web en dos clics o instalar contenedores de Docker sin despeinarte.
• Es un ordenador con su propio sistema operativo.
• Permite acceder a los archivos desde internet (tu propia nube), ya que está conectado a través de un cable Ethernet. Simplemente compartir y después de unos ajustes, tendrás todo accesible desde fuera.
• Fácilmente configurable desde un navegador.
• Está enfocado desde el usuario sin conocimientos o novel hasta usuarios más avanzados.

Como negativo valoré solo valoré su precio. Un NAS suele ser caro y además hay que comprar los discos aparte, hay alguna opción que los incluye, pero marcas más desconocidas. Por lo que su rentabilidad puede ser a la larga dependiendo de varios factores como el uso, etc.

DAS

• Suele ser menos costoso que un NAS por norma general, ya que el costo por Gigabyte se nota.
• Ofrece velocidades más rápidas que un NAS, y
• Su instalación es muy sencillo, conectar y listo.

Como desventaja o parte negativa, que su puesta en marcha para compartir tus aplicaciones ya sea en Docker o no, almacenar tus fotos desde el móvil en el DAS, etc. Requieren de un ordenador, mini-pc, RaspberryPI, etc., para dar estos servicios. A parte de su configuración manual.

Teniendo esto claro, se podría decir que un NAS es para todos los públicos si nos decidimos por almacenar datos y tenerlos disponibles o accesibles desde internet, con nuestras aplicaciones de móvil, etc. Mientras que un DAS, si solo queremos almacenar y usar en casa, perfecto, pero si queremos usarlo para compartir datos, tener nuestras apps auto alojadas en él y servirlas a internet, la cosa se complica y hay que tener ciertos conocimientos. No excesivamente, porque cada vez esto va siendo más usable, pero requiere un aprendizaje inicial más durillo que un NAS.

Decisión

Finalmente revisando precios del dispositivo en sí, más discos duros y teniendo en cuenta mis conocimientos en sistemas, me decidí adquirir un DAS. La mejor decisión al contar ya con un Mini-PC como servidor, con sistema operativo Debian 12 y con el que podría administrar el DAS una vez conectado por USB 3.2, para dar una gran velocidad de manera casi inmediata.

La marca que me convenció y compré fue Terramaster y el modelo el D2-320, con dos bahías y una capacidad total de 44 Tb. Con lo que podré ampliarlo a futuro. Ahora mismo tengo mis dos antiguos discos de 500 Gb cada uno añadidos al DAS, pero en breve me haré con dos de mayor tamaño.

Lo bueno de este modelo, es que trae incluido la opción de configurar RAID desde hardware, simplemente cambiando la posición en la parte trasera. Fue una de mis decisiones más acertadas, ya que aunque se podría gestionar también sencillamente desde Debian con «mdmam», una cosa menos y la fiabilidad de Terramaster en este aspecto, me dio el impulso.

La configuración actual es un RAID 1 en espejo, para tener la máxima protección a nivel de rotura de un disco, ya que si fuera así, no perdería nada.

Finalmente destacar sus pequeñas luces led en verde, que indican que está el dispositivo encendido y otros dos para indicar que los HDD están conectados y funcionando. Cuando parpadean es que se está escribiendo/leyendo en ellos.

En definitiva, si queréis ahorraros dinero, os gusta trastear y montar vuestras cosillas «selfhosting» desde vuestro mini-pc, RaspberryPI, OrangePI, lo que sea… no necesitáis un NAS con el SO incorporado, os basta un DAS conectado por USB a vuestro servidor y desde ahí podéis tener todo lo que queráis.

Por ejemplo en mi caso, este blog que estás leyendo está servido directamente desde el DAS conectado por USB a mi servidor Debian, al igual que otras numerosas apps, además de mis backups, storage de fotos, etc. Seguramente muestre en otro post, como está todo montado.

Información adicional

Es importante decir, ya os decantéis por un NAS o un DAS, que ahí es donde almacenaréis todos vuestros datos personales, fotos, películas, documentos, backups, etc. Por ello, como último consejo, el hardware que compréis hacedlo de una marca conocida, sobre todo si vais a usar algún tipo de RAID. La gestión de estos dispositivos es realmente importante al igual que te alerte cuando un disco pueda estar fallando y te evite la pérdida de información.

Por ello mi último consejo es que optes por alguna de estas marcas (no me pagan ni me han regalado nada) pero por comentarios, análisis, etc. suelen ser las mejores opciones:

Para NAS principalmente estarían Synology o QNAP, son carillos, pero son realmente fiables y además tienen sus propias apps para hacer backups de fotos desde el móvil, etc.

Para DAS mi elección iría a Terramaster aunque sería buena tercera opción para NAS y como alternativa Orico.

Mas allá de esas cuatro marcas, depende de vosotros.

Espero que os haya gustado y si tenéis alguna pregunta, cuestión, duda… siempre podéis usar los comentarios de abajo

¡Nos vemos por el Fediverso!

Después del revuelo por esa noticia oficial, aunque ya era algo que se veía venir por la falta de actualizaciones en la aplicación desde hace meses, muchas voces han salido a la palestra asegurando la continuidad del mismo.

Hasta entonces, cuando algunos desarrolladores tomen posiciones y comiencen a gestionar y a poner en orden todo, el proyecto pasa a estar en modo mantenimiento. ¿Y qué significa esto? pues básicamente que únicamente se arreglarán fallos existentes y aquellos que puedan surgir mientras se revisan perfiles para dar una continuidad.

Versión de mantenimiento

Y con esa noticia y con la pereza que me da cambiar de aplicación, para mover posteriormente todo lo que tengo ella almacenada a esa otra, pues voy a dejar un pequeño tip para instalar desde cero la nueva nueva versión a través de Docker. Ya que si probáis los pasos previos de días atrás, no os servirán.

Incluso chequeando hoy la página oficial, han eliminado toda la información y han añadido un simple enlace a la cuenta oficial de Github hace apenas un día:

Docker compose

A continuación os dejo el fichero de docker-compose.yml que os servirá para instalar Filebrowser sin problemas o bien para actualizar el que tengáis ya instalado.

Básicamente lo que he hecho ha sido seguir las indicaciones de su espacio para la instalación (enlace), pero que os dejo a continuación bien explicadito:

services:
  filebrowser:
    image: filebrowser/filebrowser:v2-s6
    container_name: filebrowser
    volumes:
      - /folder/to/filebrowser/data:/srv
      - /folder/to/filebrowser/config:/database
      - /folder/to/filebrowser/config:/config
      - /folder/data/filebrowser/config/branding:/branding
    environment:
      - TZ=Europe/Madrid
      - PUID=1000
      - PGID=1000
    ports:
      - 8095:80
    restart: unless-stopped

Lo nuevo que hay que incluir en el fichero docker-compose.yml sería esto:

• image: filebrowser/filebrowser:v2-s6
  Aseguraros que añadís la imagen de v2-s6 que es la última versión actualizada en el Hub de Docker. Como alternativa que también está actualizada podéis usar la s6. En cuanto a «latest» y otras opciones, me han dado ciertos problemas y no me han funcionado sobre todo al crear la base de datos.

• /folder/to/filebrowser/data & /folder/to/filebrowser/config
  Estas carpetas cambian un poquillo, si antes en la versión había que añadir el fichero de la base de datos en el raíz y además crearla con anterioridad con un touch, ahora ya no es necesario. Esta imagen funciona bien.
  
  En cuanto a la ruta de /folder/to/filebrowser/data es la ubicación donde tenemos nuestros datos y /folder/to/filebrowser/config/branding es la carpeta donde añadiré mi logo y favicon que quiero usar con Filebrowser. Esta carpeta es opcional. Para saber más de esto sobre configuración podéis visitar este enlace.

• – 8095:80
  Ese será el puerto en el que queréis mostrar la aplicación. Seguramente tengáis un Reverse Proxy, si es así, únicamente cambiáis ese puerto por el que queráis y tengáis libre. Con eso funcionará.

Por último, ya solo os queda hacer correr el docker con docker compose up -d y andando.

Ahora ya tenéis la versión de mantenimiento de esta gran aplicación que por el momento no tendremos que modificar hasta que salga de este estado y se comience a desarrollar el proyecto en nuevas mejoras, rendimiento, etc.

¡Nos vemos por el Fediverso!

El servidor proxy inverso siempre se sitúa por delante de los servidores/servicios web que tengamos en el servidor y es el que se encargará de reenviar las solicitudes que reciba hacía los servicios alojados. Es por ello, que es el servicio que tenemos que configurar primeramente es este.

Para instalar este proxy necesitaremos de la última versión LTS de NodeJS, la cual descargaremos desde un repositorio. Por defecto, en Debian 12 viene la versión 18 que serviría, pero siempre me gusta tener actualizada la aplicación a la última versión LTS (Long Term Support) que exista, en este caso la versión 20.

Antes de nada y como práctica habitual, primero haremos un update y upgrade para dejar el sistema actualizado hasta ese mismo momento. Lanzamos los comandos pertinentes:

sudo apt update && sudo apt upgrade -y

Después ya podemos ir a la página del repositorio llamado NodeSource de NodeJS (https://deb.nodesource.com) desde donde podremos descargar e instalar la última versión LTS de esta herramienta. En su página veremos lo sencillo que es, básicamente tendremos que copiar/pegar dos líneas.

Pero antes de lanzar estas dos líneas, habrá que instalar el comando curl ya que por defecto no viene instalado por Debian.
Lanzamos la instalación:

sudo apt install curl

curl -fsSL https://deb.nodesource.com/setup_20.x | sudo bash -
sudo apt-get install -y nodejs

Si todo ha ido bien, podemos ver que ya lo tenemos instalado:

jmdlr@debian:~$ curl --version
curl 7.88.1 (x86_64-pc-linux-gnu) libcurl/7.88.1 OpenSSL/3.0.11 zlib/1.2.13 brotli/1.0.9 zstd/1.5.4 libidn2/2.3.3 libpsl/0.21.2 (+libidn2/2.3.3) libssh2/1.10.0 nghttp2/1.52.0 librtmp/2.3 OpenLDAP/2.5.13
Release-Date: 2023-02-20, security patched: 7.88.1-10+deb12u5
Protocols: dict file ftp ftps gopher gophers http https imap imaps ldap ldaps mqtt pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: alt-svc AsynchDNS brotli GSS-API HSTS HTTP2 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM NTLM_WB PSL SPNEGO SSL threadsafe TLS-SRP UnixSockets zstd

Con esto ya estaríamos listos y podemos lanzar las dos líneas que ponían en la página del repositorio:

curl -fsSL https://deb.nodesource.com/setup_20.x | sudo bash -
sudo apt-get install -y nodejs

Terminada la instalación, toca comprobar que la versión instalada de NodeJS es la que queremos, en este caso la 20 LTS.
Ejecutamos el siguiente comando para visualizar la versión:

jmdlr@debian:~$ node -v
v20.13.1

¡Bien hecho! Ahora ya solo toca instalar el proxy, para ello vamos a la página oficial de GitHub de NPM para ver la última versión disponible he instalarla.

• https://github.com/NginxProxyManager/nginx-proxy-manager

Vamos a seguir exactamente los pasos que se indican ahí, que de manera resumida son las siguientes.

Creamos un fichero docker-compose.yml:

vi docker-compose.yml

Añadimos el siguiente contenido:

version: '3.8'
services:
  app:
    image: 'docker.io/jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

Estamos indicando en el fichero qué:

• Usaremos la última imagen disponible que exista del NPM,
• Abriremos los puertos 80, 443 y 81 para el dashboard de administración de la app, y
• Se crearán las siguientes carpetas de «data» y «letsencrypt».

Salvamos el fichero (:wq!) y lo ejecutamos:

docker compose up -d

Esto tardará un ratillo entre que descargar la imagen, configura, etc. Al final tendrá que indicarnos con checks de color verde, que todo ha ido bien.
Para confirmarlo podemos ver en qué estado está la aplicación dentro de docker, para ello ejecutamos lo siguiente:

docker ps

Y tendría que devolvernos que el contenedor de la aplicación está corriendo como podremos ver en la columna de «Status», que dirá el tiempo que lleva levantado:

jmdlr@debian:~$ docker ps
CONTAINER ID   IMAGE                             COMMAND   CREATED          STATUS          PORTS                                                                                  NAMES
016fdef7c34a   jc21/nginx-proxy-manager:latest   "/init"   57 seconds ago   Up 55 seconds   0.0.0.0:80-81->80-81/tcp, :::80-81->80-81/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp   jmdlr-app-1

Si esto es así, el servicio estará levantado, probemos directamente lo que nos dice el puerto 80.
Abrimos un navegador en nuestro equipo y atacamos a la IP de nuestro servidor en mi caso será la IP 192.168.1.12:

Ahora vamos a ir a la página de administración de NPM que por defecto se configura en el puerto 81 y nos devolverá esta ventana de «login»:

Para acceder, como se indica en la página oficial tendremos que utilizar estas credenciales de abajo, que posteriormente nos obligarán a cambiar la primera vez que accedamos, al igual que el nombre, usuario y dirección de correo electrónico.

• Usuario: admin@example.com
• Contraseña: changeme

Añadimos la información que queramos poner y daremos al botón de «Save». Y ya estaremos en la página principal desde la que gestionaremos los diferentes apartados de nuestro proxy.

Y hasta aquí toda la instalación de nuestro proxy, seguiremos en próximos artículos con la instalación de los diferentes servicios que queramos tener disponibles en nuestro servidor y veremos como debemos configurar NPM para que las peticiones sean redireccionadas según al servicio que se quiera acceder.

¡Nos vemos por el Fediverso!

Siempre me gusta instalar las últimas versiones de software disponible y aquí no haré la excepción por lo que instalaremos la última versión disponible de docker que haya, por lo que usaremos los repositorios de este para conseguir dicha versión.

Primero instalaremos los paquetes de ca-certificates y gnupg:

sudo apt install ca-certificates gnupg

Creamos una carpeta para almacenar los keyrings:

sudo install -m 0755 -d /etc/apt/keyrings

Descargamos la clave PGP y la almacenamos en la ruta anterior:

curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

Otorgamos permisos al fichero que hemos descargado:

sudo chmod a+r /etc/apt/keyrings/docker.gpg

Configuramos el repositorio que usará docker:

echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Ahora ejecutamos una actualización con update / upgrade para refrescar los repositorios y finalmente lanzaremos la instalación de Docker con todos los paquetes recomendados (sobre todo docker-compose):

sudo apt update && sudo apt upgrade -y
sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Por último, comprobamos que se ha instalado adecuadamente:

sudo docker run hello-world

Si todo va bien saldrá lo siguiente en pantalla:

jmdlr@debian:$ sudo docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
c1ec31eb5944: Pull complete
Digest: sha256:266b191e926f65542fa8daaec01a192c4d292bff79426f47300a046e1bc576fd
Status: Downloaded newer image for hello-world:latest

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:
 1. The Docker client contacted the Docker daemon.
 2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
    (amd64)
 3. The Docker daemon created a new container from that image which runs the
    executable that produces the output you are currently reading.
 4. The Docker daemon streamed that output to the Docker client, which sent it
    to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
 $ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID:
 https://hub.docker.com/

For more examples and ideas, visit:
 https://docs.docker.com/get-started/

Finalmente podemos ver que tenemos la última versión instalada:

jmdlr@debian:~$ docker -v
Docker version 26.1.3, build b72abbb

Ahora quedará configurar docker para poder usarlo con nuestro usuario, ya que tener que usarlo con «root» puede ser tedioso la vez que inseguro.
Vamos a por ello entonces.

Creamos un grupo para docker:

sudo groupadd docker

Es posible que nos salga que ya lo hemos creado, si es así, seguimos para adelante, añadimos nuestro usuario a ese grupo de docker:

sudo usermod -aG docker jmdlr

Para que se apliquen los cambios tenemos que deconectar y volver a conectar con nuestro usuario. Esto es importante o no podremos utilizar docker. Lo hacemos.
A la vuelta probamos si ya podemos ejecutar docker con nuestro usuario:

docker run hello-world

Si todo ha ido bien veremos en la pantalla eso de «Hello from Docker!»

Y con esto estaría todo por el momento, ¡seguiremos construyendo nuestro servidor self-hosting en próximos capítulos!

¡Nos vemos en el Fediverso!

Así pues, os explicaré el proceso de fijar una IP estática en Debian de manera sencilla y rápida.

Lo primero será conectar al servidor con la IP dinámica que le haya asignado vuestro router después de haberlo instalado, en mi caso es la IP 192.168.1.128 y con mi nombre de usuario que utilicé al instalar el servidor:

ssh jmdlr@192.168.1.128

Si es la primera vez que accedemos nos dirá si queremos salvar el fingerprint, damos que «Yes» y seguimos adelante. Nos pedirá la contraseña de nuestro usuario y ya estaremos dentro:

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon May 27 14:24:51 2024 from 192.168.1.112
jmdlr@debian:~$

Ahora averiguaremos el nombre de la interfaz de red que tenemos que modificar y que usaremos con la IP estática que queremos, para ello lanzamos el siguiente comando para saber cuál interfaz tiene nuestra IP dinámica configurada:

jmdlr@debian:~$ ip a | grep inet

Nos devolverá todas las interfaces de nuestro equipo y tendremos que ver cual es la que tiene nuestra IP dinámica. En el ejemplo de abajo, veremos que es la tercera líneaque tiene la IP acaba en 128 (en la vuestra será una diferente) y está configurada en la interfaz enp0s31f6.

jmdlr@debian:~$ ip a |grep inet
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host noprefixroute
    inet 192.168.1.128/24 brd 192.168.1.255 scope global dynamic enp0s31f6
    inet6 fe80::3641:5dff:feb6:cadd/64 scope link

Con esta información modificamos el fichero correspondiente /etc/network/interfaces
Hacemos un vi o un nano sobre el fichero según nuestra configuración:

sudo vi /etc/network/interfaces

Comando SUDO

Si no tenemos instalado «sudo» en Debian, ya que no viene instalado por defecto, tendremos que instalarlo con el siguiente comando:

su - root
Contraseña:
apt install sudo

SUDO para nuestro usuario

Nuestro usuario no tendrá privilegios de «root», por lo que tendremos que otorgárselos de la siguiente manera.
Tecleamos la palabra visudo y accederemos a la configuración de «sudo» y buscamos la línea que ponga:

# User privilege specification
root    ALL=(ALL:ALL) ALL

Debajo de esa línea, añadimos otra línea igual pero comenzando con el nombre de nuestro usuario y quedaría así:

# User privilege specification
root    ALL=(ALL:ALL) ALL
jmdlr   ALL?(ALL:ALL) ALL

Salvamos el fichero y ya tendremos privilegios de «sudo» para nuestro usuario.

Ahora sí, tendría que funcionar el comando de arriba.
Salimos primero del usuario root tecleando la palabra «exit» y ahora con nuestro usuario escribimos:

sudo vi /etc/network/interfaces

El contenido será más o menos el siguiente:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s31f6
iface enp0s31f6 inet dhcp

La última línea de iface la comentaremos, ya que es la que asigna una IP dinámica a la tarjeta, y añadiremos las siguientes líneas:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s31f6
# iface enp0s31f6 inet dhcp

iface enp0s31f6 inet static
address 192.168.1.12
netmask 255.255.255.0
gateway 192.168.1.1

• La primera línea tendremos que cambiar dhcp por static.
• La segunda línea de address pondremos la IP local que queremos que tenga el servidor, en este caso puse la acabada en 12.
• La tercera línea de netmask será normalmente la 255.255.255.0 pero dependerá de cómo tenemos configurada nuestra red, y
• La cuarta línea de gateway será la puerta de enlace que corresponde a la salida a internet de nuestro router, en mi caso la IP acabada de 1.

Salvamos el fichero con :wq! si estamos con vi o control+x si estamos con nano.

Ahora toca reiniciar nuestro servicio de red para que aplique los nuevos cambios introducidos en el fichero de configuración de las interfaces:

sudo systemctl restart networking.service

Si todo va bien, perderemos la conexión con el servidor y podremos conectar con la IP estática que le hayamos configurado. En mi caso la acabada en 12.
Así pues, pruebo a conectar por SSH a dicha IP:

ssh jmdlr@192.168.1.12

Nos pedirá el nuevo «fingerprint», le damos de nuevo a «Yes». Ahora nos pedirá la contraseña de nuestro usuario y si todo es correcto, estaremos dentro del servidor con la IP estática correctamente configurada:

root@Azeroth:~# ssh jmdlr@192.168.1.12
The authenticity of host '192.168.1.12 (192.168.1.12)' can't be established.
ED25519 key fingerprint is SHA256:7cy7D1pkU1TDWae14QQCkQPk2yHCR3l0+7DlT2h1osk.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:3: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.1.12' (ED25519) to the list of known hosts.
jmdlr@192.168.1.12's password:
Linux debian 6.1.0-21-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.90-1 (2024-05-03) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon May 27 15:09:16 2024 from 192.168.1.114
jmdlr@debian:~$

Con el siguiente comando podemos ver las interfaces de red y veremos que la tercera línea tiene la IP 12 en mi caso que configuré en la interfaz llamada enp0s31f6.

jmdlr@debian:~$ ip a | grep inet
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host noprefixroute
    inet 192.168.1.12/24 brd 192.168.1.255 scope global enp0s31f6
    inet6 fe80::3641:5dff:feb6:cadd/64 scope link

Con esto ya tendríamos configurada la IP estática, que es uno de los primeros pasos imprescindibles para posteriormente montar diferentes servicios en nuestro servidor self-hosted.

¡Nos vemos por el Fediverso!

La situación es alarmante si te quedas a pensar en ello por un momento, por ese motivo siempre habrá que intentar poner muros, defensas, aduanas ante ello, para tener más control sobre nuestra información. Y es por ello, que empiezo este pequeño proyecto de self-hosting desde mi blog, por que si no podemos evitar que nuestra información personal se filtre y alguna la tengan por defecto (nuestro correo electrónico), si al menos, mantengamos nuestros datos, ubicados en nuestra misma casa con nuestro hardware, de manera segura y sin muchas parafernalias.

Esto solo pretende ser una guía de cómo hacerlo, no será la verdad verdadera. Una vez sepáis como funciona esto del «self-hosting» o «self-hosted» si queréis añadir más dificultad, más componentes, más servicios, diferentes vlans, etc. Eso correrá de vuestra parte. Por mi lado, aquí explicaré una configuración básica con lo que empezar y con servicios de «más uso».

¿Qué vamos a montar?

Una mini-arquitectura en nuestra ubicación local para tener diferentes servicios, que ahora tendréis externalizados prácticamente en su totalidad o a lo mejor algunos de ellos y de esta manera tenerlos en vuestra propia vivienda, local, etc. Mostraré la instalación de los diferentes componentes y servicios utilizando apps de Software libre paso a paso en su mayoría (tengo Emby aun por aquí rondando). Y añadiremos la seguridad que sea necesaria para evitar cualquier problema.

La intención, explicada de manera breve y rápida, es montar un pequeño servidor con un proxy inverso y detrás de él unos cuantos servicios que pueden ser más o menos interesantes para vuestro uso diario. Estos servicios que he pensado (pueden ser modificados durante las diferentes entradas en el blog) que podrían ser interesantes para instalar en nuestro servidor serían los siguientes:

• Un buscador como puede ser SearXNG para realizar búsquedas seguras,
• Un agregador de enlaces rss para estar informados de noticias, blogs, que nos interesen como puede ser FreshRSS,
• Una plataforma de mensajería para comunicarnos de manera segura como SimpleX,
• Una plataforma de blogs para escribir y compartir nuestras cosas, bien con WordPress, Ghost o Bludit,
• Una pequeña nube de alojamiento de ficheros con otras opciones como puede ser FileBrowser, Nextcloud, etc,
• Una aplicación de monitorización para controlar nuestro sistemas como Uptime Kuma, Umami, etc,
• Un protector DNS para quitar basura en nuestra red local como Pi-hole,
• Un centro multimedia para ver nuestro contenido privado de vídeos, fotos… que podemos hacer con Emby o Jellyfin, y
• Muchas más cosas si hay interés en montarlo.

¿Qué necesitamos?

Pues varias cosas, pero en resumen los requisitos mínimos serían:

• Red eléctrica (¿obvio no?)
• Conexión a internet, preferentemente fibra aunque si tenéis ADSL… ¡pues no queda otra!
• Una RaspberryPI 3B o versión superior o bien algún portátil, PC viejo, etc. Recomiendo una Raspberry o algo similar por el consumo de red eléctrica.
• Un MiniPC o NUC, si vamos a querer añadir bastantes servicios, lo mejor en cuanto a rendimiento, coste de luz, etc. sin duda necesitamos este hardware. También podría servir una RaspberryPI de las últimas o una OrangePi, pero sigo opinando que por precio/rendimiento un minipc es mejor inversión. Pero para gustos los colores. Como otra opción también sería tener varias Raspberry/OrangePi y distribuir los servicios por ellas… la arquitectura puede ser flexible como veis.

Por mi parte usaré lo siguiente de lo expuesto anteriormente: Red eléctrica, conexión vía fibra, RaspberryPi 3B+ y Mini-PC (GK41).

Servicio a servicio

Comenzaré en breve a publicar los diferentes posts sobre este proyecto e iré pasito a pasito pero sin prisa, aunque tampoco sin pausa. La idea ir haciendo todo esto a la vez que voy modificando toda mi red interna de casa, que no está como quisiera y que quiero dejarla mejor de lo que está. Aquí os dejo el artículo que publiqué del estado actual de mi red: http://mindeka.duckdns.org/2020/05/23/red-interna-de-casa/.

Así que aprovechando el cambio que quiero hacer de todo, utilizaré mi blog para ir publicando todo y si alguien más quiere dar el salto y auto-alojarse sus servicios pueda hacerlo. Dejo aquí el dibujo final que hice de cómo quedará mi red interna algún día de estos, únicamente exponiendo dos a internet y dentro tener una mini-infraestructura ser microservicios para dar soporte a mi familia y a mi mismo.

Y poco más gente, a futuro ya hablaremos de ciertos «pros» y «contras» de tener esto auto-alojado localmente para que podáis decidir si es buena idea para vosotros o no según bastantes factores.

¡Nos vemos por el Fediverso!

El pasado fin de semana, teniendo un rato libre, ordené un poquillo la «red interna» de mi casa, si bien no hice un gran cambio por diversos servicios que utilizamos a diario y que no puedo cortar de golpe sin saber cuánto tiempo me llevará, toqué lo que pude dejando para más adelante cambios más directos y amplios en cuanto a criticidad. Eso requiere de una planificación más ardua que realizaré más adelante.

Más abajo tenéis una imagen donde podéis ver la situación actual de mi red interna junto a todos los dispositivos que la conforman. Con este dibujo en ExcaliburDraw (servicio selfhosting) queda bien claro como está todo montado (o al menos para mi :D) y donde detrás del router es donde hay que meter mucha mano.

SSL para todos

Siguen existiendo hoy en día protocolos que en mi opinión, tuvieron que dejar de usarse al menos a nivel profesional. No es raro todavía encontrarse accesos desde internet a servicios sin protocolo seguro. Hablo de protocolos como FTP (File Transfer Protocol), Telnet, HTTP o incluso versiones antiguas del protocolo TLS (Transport Layer Security). Esto es un gran problema en técnicas como el «man in the middle«.

Lo primero por lo tanto que hice y que ya era necesario, fue asegurar todos los accesos desde el exterior mediante SSL (Secure Sockets Layer) para evitar cualquier agujero que pudiera tener. Antes de la imagen arriba mostrada, tenía los siguientes riesgos:

Servidor multimedia Emby

Lo estaba sirviendo bajo el puerto destinado al HTTP (8096) para accesos de amigos desde el exterior. Con esto estaba poniendo en peligro tanto el propio servidor como a ellos mismos, ya que sus usuarios/passwords estaban «viajando» en texto plano. Un riesgo que era fácil de solucionar añadiendo bien un certificado directamente (Emby tiene la opción) o bien creando uno y añadiéndolo al Proxy inverso. Finalmente opté por añadirlo directamente en Emby sin pasar por el proxy. Cree un certificado para mi dominio, lo convertí en .pfx (así lo requiere) y lo añadí en las opciones para todas las conexiones por el puerto 8920, que tuve que abrir en mi router. Aquí tenéis la configuración:

Finalmente la conexión quedó asegurada tanto para el servidor como para los accesos externos que llevaran la capa de cifrado para los credenciales.

Blog en WordPress

Activé también mi blog en WordPress que no utilizaba desde el año 2020, el de la pandemia, que a mi como muchos otros, me dio por escribir en esa situación tan delicada y desagradable. Estuve bastante reacio a recuperarlo ya que fue un momento malo como digo y me traía recuerdos que quería olvidar, pero al ser parte de mi, dejé la idea de crear un blog desde algún SSG y retomarlo. Y aquí está.

Lo tenía en la RaspberryPI 3B+ junto a Pi-hole también configurado en HTTP puesto que el certificado que tenía había caducado hace ya un tiempo. Lo único que tenía que hacer era configurar un nuevo certificado con Let’s Encrypt y levantarlo, pero opté por añadirle una capa más de seguridad.

Así pues levanté un servicio nuevo de WordPress en mi otra RapsberryPI 3B, donde tengo instalado YunoHost junto a la aplicación de ExcaliburDraw (ya os hablaré de ella) y configuré todo de nuevo, restauré una copia de mis posts antiguos, ya que estaba también cambié el tema del blog, lo hice más minimalista y configuré nuevas cositas del Fediverso, IA y demás. Hecho eso, comprobé que estaba todo bien y lo activé.

Desde Yunohost configuré el acceso por defecto a mi dominio https://mindeka.nohost.me para el acceso directo a mi blog y le añadí un certificado SSL desde Let’s Encrypt, que viene integrado con toda esta suite:

Configuración del certificado desde Yunohost para el dominio principal

De esta manera ya quedó asegurado con la capa de seguridad que debe de tener.

Buscador SearXNG

Por último, una vez todo securizado revisando el servidor de YunoHost, pude ver las nuevas aplicaciones que han llegado a esta suite. Si antes tenía bastantes aplicaciones cuando lo instalé ahora mismo el catálogo es realmente grande e interesante.

Por lo que probando encontré la instalación de buscador llamado SearXNG para realizar búsquedas sin tracking alguno. Además vi que existían muchas e interesantes opciones de configuración como múltiples navegadores, etc., por lo que opté instalarlo. Y aunque debo decir que al principio no me impactó mucho, ya que tengo un pequeño «delay» que revisaré, entre que solicito la búsqueda y responde (puede ser la RaspberryPI 3B que no da para más) después de usarlo habiendo configurado mi navegador Vivaldi comprobé que las respuestas que da son bastante fiable de lo que estás buscando y que es una alternativa realmente interesante y que asegura tu privacidad en todos los aspectos.

Por lo que configuré un nuevo dominio, instalé la aplicación, generé otro certificado desde Let’s Encrypt y encendí. Desde entonces, estoy utilizando mi navegador local a pleno rendimiento.

Conclusión

Quedan muchas cosas por mejorar, quiero hacer más cambios, sobre todo «aislar» mi blog para tenerlo aparte de cualquier otra aplicación/servicio y eso requiere que sea en otro dispositivo o bien en la propia RaspberryPI actual pero sacando de ahí el resto de servicios como son ExcaliburDraw y el buscador SearXNG.

También pasaré para otra capa de seguridad el blog por el proxy inverso junto al Emby, ya que aunque está asegurado, siempre es mejor añadir un proxy y solo dejar abiertos hacía internet los puertos 80 y 443.

En definitiva, no sé si es mucho «cuchillo de palo» pero no me siento el herrero que tiene todo perfectamente acondicionado.
Por el momento funciona, no tengo muchos riesgos como tenía anteriormente a este fin de semana y además el rango de mejora es alto por todo lo que se puede hacer.

Y nada más, si tenéis preguntas, dudas o queráis saber algo del auto alojamiento o selfhosting, podéis comentar por aquí o directamente en mi cuenta de Mastodon: https://meetiko.org/@jmdelosreyes.

¡Nos vemos en las redes!