Servidor base

• Componentes principales del servidor
• Infraestructura segura y autohospedada: cómo la tengo montada (y por qué)
• Usos de un homelab, como este

Componentes principales del servidor

---

Introducción

Este artículo documenta el servidor físico que actúa como núcleo del ecosistema autohospedado. Sobre esta máquina descansan los servicios, la virtualización, el almacenamiento y buena parte de la automatización. No se trata de un equipo montado por capricho, sino de una base estable pensada para absorber carga diversa, crecer con el tiempo y mantenerse operativa sin sobresaltos.

El servidor se integra como capa inferior del stack: sobre él viven Docker, máquinas virtuales, servicios de red, sistemas de monitorización y almacenamiento persistente. La prioridad no es el rendimiento extremo puntual, sino el equilibrio entre potencia sostenida, fiabilidad y margen de maniobra.

---

Enfoque general

El hardware está elegido con una idea clara:

• Capacidad suficiente para virtualización y contenedores en paralelo.
• Memoria amplia para evitar cuellos de botella artificiales.
• Almacenamiento separado por función (sistema, datos rápidos, volumen masivo).
• Posibilidad de ampliación sin rehacer el conjunto.

No es un servidor silencioso ni minimalista; es una herramienta de trabajo y laboratorio permanente.

---

Placa base

ASUS PRIME B450-PLUS

Placa base sobria y fiable, sin extras innecesarios. Ofrece conectividad suficiente para almacenamiento, expansión y red sin entrar en gamas entusiastas que no aportan valor real en este escenario. Prioriza estabilidad y compatibilidad a largo plazo.

---

Procesador (CPU)

AMD Ryzen 9 3900X

12 núcleos y 24 hilos permiten ejecutar múltiples cargas simultáneas sin comprometer la respuesta general del sistema. Virtualización, contenedores y tareas pesadas conviven sin necesidad de afinado constante. El procesador no es el cuello de botella del conjunto.

---

Memoria RAM

64 GB DDR4 (4×16 GB a 2666 MHz)

Cantidad elegida para eliminar la RAM como factor limitante. Permite ejecutar varias máquinas virtuales, servicios paralelos y pruebas sin entrar en escenarios de swapping ni ajustes defensivos. La prioridad aquí es margen, no benchmarks.

---

Almacenamiento

El almacenamiento está organizado por función y origen, priorizando flexibilidad y capacidad frente a uniformidad:

• NVMe 500 GB: sistema operativo y servicios sensibles a latencia (bases de datos, contenedores críticos).

• SSD SATA 512 GB: pruebas, servicios secundarios y datos no críticos.

• HDD internos y externos de gran capacidad:

  • 18 TB: almacenamiento masivo y datos de gran volumen.
  • 16 TB: almacenamiento principal y repositorios grandes.
  • 14 TB: datos auxiliares y expansión.
  • 8 TB: copias de seguridad y datos redundantes.
  • Otros discos (500 GB–1 TB): usos específicos, pruebas o legado.

Parte del almacenamiento de gran capacidad se conecta mediante cabinas USB/SATA, priorizando densidad y reutilización de discos frente a rendimiento bruto.

---

Red

2× Gigabit Ethernet (Realtek RTL8111/8168/8211)

Controladoras sencillas pero estables. Suficientes para transferencias sostenidas, redes virtuales y tráfico interno. No se prioriza 10 GbE en este punto porque no aporta una mejora proporcional al uso real actual.

---

Gráfica (uso puntual)

NVIDIA GeForce RTX 2060

No está dedicada al uso continuo, pero resulta clave en tareas concretas. Se utiliza para acelerar procesos de machine learning y análisis multimedia, como el procesamiento de imágenes en servicios tipo Immich (detección de objetos, personas y escenas). Permite descargar trabajo pesado de la CPU cuando es necesario.

---

Sistema operativo

El servidor ejecuta una distribución estable y con soporte a largo plazo:

• Ubuntu 24.04 LTS (Noble)

Se prioriza estabilidad, soporte y compatibilidad con el ecosistema de contenedores y virtualización. No hay personalizaciones agresivas ni experimentales a nivel base.

---

Resumen breve

Servidor generalista, potente y flexible, pensado para durar y adaptarse. No está optimizado para un único propósito, sino para absorber cambios, pruebas y crecimiento sin necesidad de replantear el hardware. La máquina no condiciona el diseño del stack; lo soporta.

Infraestructura segura y autohospedada: cómo la tengo montada (y por qué)

---

Introducción

Este artículo documenta cómo está planteada una infraestructura autohospedada con foco en seguridad, control y reducción deliberada de superficie de ataque. El enfoque se integra en un stack basado en reverse proxy, autenticación centralizada y monitorización activa, donde cada componente cumple una función clara y no existe confianza implícita entre capas.

No se trata de paranoia ni de complejidad gratuita, sino de asumir que cualquier servicio expuesto será tocado, escaneado o forzado en algún momento, y diseñar el sistema para resistir, avisar y desgastar al atacante.

---

Infraestructura básica

Authentik: el portero de la fiesta

• Punto central de autenticación para subdominios y servicios internos.
• Nada accede directamente a las aplicaciones sin pasar por identidad previa.
• Uso sistemático de 2FA y autenticación fuerte.
• Integración con llaves físicas (YubiKey) para eliminar ataques basados únicamente en credenciales.

La autenticación no se delega en cada servicio, se centraliza y se endurece.

---

Cloudflare: la muralla exterior

• Oculta la IP real del servidor.
• Filtrado automático de DDoS, bots y tráfico genérico no deseado.
• Reglas personalizadas por país, ASN y patrones habituales de abuso.

La mayor parte del ruido muere antes de tocar infraestructura propia.

---

CrowdSec: la segunda línea

• Bloqueo activo de escaneos, fuzzing y rutas comunes de ataque.
• Protección de tráfico que no pasa por Cloudflare o llega por rutas laterales.
• Integración directa con el reverse proxy.
• Volumen real de bloqueo mensual del orden de millones de eventos.

No actúa como parche, sino como parte del flujo normal de tráfico.

---

Gestión de datos sensibles

Contraseñas a nivel absurdo con KeePass

• Gestor de contraseñas principal.
• Contraseñas largas, únicas y sin reutilización.
• Base de datos cifrada y sincronizada entre dispositivos propios.

La idea no es memorizar, sino hacer inviable la adivinación.

---

Códigos 2FA con Aegis

• Aplicación open‑source y local.
• Base de datos cifrada.
• Sin dependencia de servicios externos.

El segundo factor no vive en la nube de terceros.

---

Syncthing: sincronización sin nube

• Sincronización cifrada punto a punto.
• Control total de nodos y versiones.
• Sin proveedores intermedios.

No existe el concepto de “restaurar desde otro”.

---

Monitorización y buenas prácticas

Wazuh: ojos en todas partes

• Servidor central autohospedado.
• Agentes en máquinas propias y entornos controlados.
• Alertas en tiempo real ante eventos sospechosos.
• Correlación y visibilidad sin depender de SaaS.

No se confía en que no pase nada: se vigila para saber cuándo pasa.

---

Revisión de logs

• Authentik, Cloudflare, Caddy y Wazuh revisados con regularidad.
• Las anomalías no se buscan manualmente: saltan solas.

---

Actualizaciones constantes

• Servicios siempre al día.
• Sin convivir con versiones obsoletas.
• Lo que no se mantiene, se elimina.

---

Políticas mínimas de seguridad en el reverse proxy (Caddy)

El reverse proxy no actúa únicamente como terminador TLS, sino como una capa defensiva activa:

• Geobloqueo local por allowlist, aplicado antes de servir contenido y sin depender exclusivamente del CDN.
• TLS estricto, sin negociación con versiones antiguas.
• Headers de seguridad coherentes y agresivos incluso en dominios inexistentes (HSTS, CSP, Permissions‑Policy, anti‑clickjacking).
• Catch‑all hostil por defecto para subdominios no definidos, evitando enumeración y fingerprinting.
• Métodos HTTP limitados y respuestas explícitas para tráfico no esperado.
• Integración nativa con CrowdSec y logging estructurado orientado a análisis, no a volumen.
• Endpoints de monitorización protegidos, incluso para health checks internos.

El proxy frontal está diseñado para frustrar reconocimiento, reducir superficie de ataque y filtrar antes de delegar.

---

Ejemplo práctico: acceso a Gitea

1. Cloudflare filtra tráfico global y aplica reglas perimetrales.
2. CrowdSec bloquea escaneos y comportamiento anómalo que llega al servidor.
3. Caddy aplica geobloqueo, políticas HTTP y validaciones mínimas.
4. Authentik exige identidad, 2FA y llave física.
5. Gitea añade su propia autenticación y segundo factor.

El resultado es una cadena de obstáculos diseñada para frustrar y desgastar.

---

Resumen breve

Infraestructura basada en capas claras, sin confianza implícita y con fricción intencionada. La seguridad no es reactiva ni decorativa: es parte del diseño, está integrada y se mantiene activa en todo el flujo de acceso.

---

Referencias o enlaces de interés

• Instalación de Authentik
• Instalación de Syncthing
• Instalación de Wazuh
• Capítulo de CrowdSec
• Aegis (GitHub)
• KeePassXC
• KeePassDX

Usos de un homelab, como este

---

Introducción

Este artículo documenta el papel del servidor como punto central de control del entorno digital completo. No describe servicios en detalle ni configuraciones concretas —eso ya está cubierto en artículos específicos—, sino la función global que cumple el servidor dentro del ecosistema: concentrar trabajo, pruebas, ocio y organización personal bajo control propio.

El objetivo no es enumerar todo lo instalado, sino explicar qué tipo de cosas se hacen aquí y por qué tiene sentido centralizarlas.

---

Automatización y desarrollo

El servidor actúa como plataforma de pruebas y automatización continua:

• Orquestación de tareas repetitivas y flujos personalizados.
• Integración entre servicios internos y externos.
• Control del ciclo de vida del código y despliegues.

Aquí conviven herramientas de CI/CD, automatización visual y análisis de calidad. No se busca velocidad extrema, sino repetibilidad, trazabilidad y control.

---

Organización y almacenamiento personal

Funciona como nube privada y repositorio de datos:

• Archivos, documentos y fotos accesibles desde cualquier dispositivo.
• Sincronización entre equipos sin intermediarios.
• Backups versionados y restaurables.

El enfoque es claro: los datos viven aquí, no repartidos en servicios de terceros.

---

Multimedia y ocio

El servidor también cubre la parte de consumo digital:

• Streaming local de películas, series y música.
• Bibliotecas de cómics, manga y libros electrónicos.
• Gestión avanzada de fotos y vídeos personales.

Todo el contenido se sirve desde infraestructura propia, sin publicidad ni dependencias externas.

---

Descargas y adquisición de contenido

Las descargas están centralizadas y automatizadas:

• Clientes P2P y gestores de descargas funcionando de forma persistente.
• Automatización del flujo desde descarga hasta almacenamiento final.
• Separación clara entre adquisición y consumo.

El servidor absorbe esta carga para no contaminar otros equipos.

---

Contenedores y control operativo

Docker es la base técnica del entorno:

• Aislamiento claro entre servicios.
• Gestión visual de contenedores, logs y estado.
• Actualizaciones controladas y visibilidad continua.

No es un entorno experimental desordenado: todo lo que corre aquí tiene propósito.

---

Seguridad, red y monitorización

El servidor integra múltiples capas defensivas:

• Reverse proxy, certificados automáticos y filtrado perimetral.
• Autenticación centralizada y control de acceso.
• Monitorización de servicios, red y sistema.
• Detección y bloqueo activo de comportamientos anómalos.

La seguridad no es un añadido posterior, sino parte del diseño.

---

Conectividad y acceso remoto

Se utilizan distintas soluciones según el caso:

• VPNs en malla y acceso remoto seguro.
• Gestión centralizada de túneles.
• Escritorio remoto autohospedado.

El acceso desde fuera está controlado, auditado y segmentado.

---

Productividad y gestión personal

Además de infraestructura técnica, el servidor actúa como archivo personal:

• Documentación propia y wiki centralizada.
• Gestión documental y notas.
• Lectores de feeds, marcadores y calendarios.

Es una extensión del entorno de trabajo diario, no un simple servidor de servicios.

---

Cierre

Aunque el conjunto pueda parecer grande, en la práctica es un homelab funcional compuesto por piezas útiles o en evaluación. No es un datacenter ni pretende serlo: es un entorno controlado donde los datos, los servicios y los experimentos están bajo control propio.

Prefiere sonar exagerado antes que depender de terceros para cosas básicas. Al final, no guarda secretos de estado: guarda tiempo, datos y tranquilidad.