Selfhosting

Si no disponemos de una dirección IP estática, y queremos montar un servidor de correo, lo más sencillo es usar un proveedor externo para reenviarlos, ya que sin la dirección estática muchos proveedores marcarían nuestros correos como spam o directamente los rechazarían. Vamos a instalar y configurar un servidor SMTP con Postfix y para enviar correos con nuestra cuenta de Gmail. Disponer de este servicio nos va a permitir: Enviar correos desde nuestro servidor usando nuestra cuenta de Gmail. Recibir notificaciones de nuestro sistema a nuestra cuenta de correo en Gmail. Si disponemos de un dominio en Google Domains, podemos usar nuestro nombre de dominio en los correos salientes: tuemail@tudominio.com. Instalación Postfix Instalamos Postfix con el siguiente comando: ...

A continuación veremos como instalar un servidor SMTP con Postfix y un servidor IMAP con Dovecot que nos permitirá enviar y recibir emails usando nuestro nombre de dominio. Disponer de este servicio nos va a permitir: Recibir notificaciones de nuestro sistema a nuestra cuenta interna o external de email. Enviar y recibir correos usando nuestro dominio personal loquequieras@midominio.com. Acceder a nuestro correo por IMAP o POP3 Requisitos previos Para seguir este post vamos a necesitar lo siguiente: ...

En el siguiente post, vamos a configurar unbound para bloquear publicidad, dominios maliciosos y lo que queramos. Los bloqueos se realizarán a nivel de resolución DNS, retornando una IP incorrecta a los clientes que consulten un dominio que se encuentre en una de las blacklist de unbound. Una blacklist es un listado de dominios para los que no devolveremos su IP real, de forma que el navegador o aplicación no cargue el contenido. Dependiendo de las listas que carguemos, podemos mejorar nuestra experiencia en la red de distintas maneras: ...

Un servidor DNS recursivo, es el intermediario entre los clientes y los servidores DNS que contienen la información veraz que relaciona los nombres de dominio con una o varias direcciones IP. Primero el DNS recursivo consulta en su caché si dispone de la información solicitada, en caso negativo pregunta a un servidor DNS raíz, seguida de una solicitud a un servidor DNS de primer nivel y finalmente a un servidor DNS autoritativo. ...

En este post, mejoraremos la seguridad de nuestro site con soporte SSL partiendo de la configuración obtenida después de seguir los pasos descritos en Nginx y Let’s Encrypt. Configuración inicial con el certificado obtenido de Let’s Encrypt server { server_name lynks.duckdns.org; root /var/www/miblog/; location \ { try_files $uri $uri/ =404; } access_log /var/log/nginx/lynks.duckdns.org.access.log; listen 443 ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/lynks.duckdns.org/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/lynks.duckdns.org/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot } server { if ($host = lynks.duckdns.org) { return 301 https://$host$request_uri; } # managed by Certbot listen 80; server_name lynks.duckdns.org; return 404; # managed by Certbot } Configuramos nginx, para sugerir a cada visitante utilizar el protocolo HTTPS por defecto: add_header Strict-Transport-Security "max-age=63072000" always; Mediante la siguiente directiva, se indica a los clientes las versiones sportadas del protocolo TLS en nuestro servidor nginx: ssl_protocols TLSv1.2 TLSv1.3; Configuramos los tipos de cifrado disponibles e indicamos que nginx, se encargará de escoger el adecuado: ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; Indicamos la política de sesiones: ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; ssl_session_tickets off; Activamos OCSP Stapling, un mecanismo para que el cliente valide la autenticidad del certificado: ssl_stapling on; ssl_stapling_verify on; Los cifrados que utilizan el protocolo Diffie-Hellman son vulnerables, ya que usan un cifrado de 1024 bits. Para mejorar la seguridad, creamos un cifrado de 2048 bits, utilizando openssl: $ sudo openssl dhparam -out /etc/nginx/dhparams.pem 2048 Configuramos nginx para que utilice dhparam: ssl_dhparam /etc/nginx/dhparams.pem; Si hemos seguido los pasos anteriores, obtendremos la siguiente configuración: server { listen 443 ssl; server_name lynks.duckdns.org; root /var/www/miblog/; location \ { try_files $uri $uri/ =404; } access_log /var/log/nginx/lynks.duckdns.org.access.log; add_header Strict-Transport-Security "max-age=63072000" always; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; ssl_dhparam /etc/nginx/dhparams.pem; ssl_certificate /etc/letsencrypt/live/lynks.duckdns.org/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/lynks.duckdns.org/privkey.pem; # managed by Certbot } server { if ($host = lynks.duckdns.org) { return 301 https://$host$request_uri; } # managed by Certbot listen 80; server_name lynks.duckdns.org; return 404; # managed by Certbot } Podemos verificar la seguridad actual de nuestro site, lanzando el test de SSL Labs, donde obtendremos la clasificación A.