servidor
5 artículos con esta etiqueta
Inventario de seguridad — 7 comprobaciones que pasan por alto quienes operan varios servidores
Para operadores solos/pequeños, los incidentes vienen menos de controles ausentes que de estado sin seguimiento. La frontera es el PC que guarda tus claves. Escalona el 2FA por raíz de confianza, haz una matriz de tus claves SSH para eliminar duplicados/sin usar/huérfanas, quita las contraseñas en texto plano de la nube, remedia de forma reversible una a una, y mantén los secretos fuera del registro. Inventario antes de añadir herramientas.
¿Dejaste un archivo de secretos en un directorio público? Audita tu webroot
Cualquier cosa en tu webroot puede descargarse por URL por cualquiera. Un JSON de token/credenciales olvidado, un .env o una copia de seguridad significa exposición instantánea — y si vino de una plantilla compartida, todos los sitios tienen el mismo agujero. Solución: coloca en el directorio público solo cosas compartibles públicamente, mantén los secretos fuera del webroot con permisos 600, y una vez que encuentres uno, audita cada sitio y servidor.
Git autoalojado vs GitHub: ¿cuál es realmente más seguro?
Autoalojar Git no te hace 'más seguro' — reubica el riesgo. La clase de exposición pública accidental desaparece, pero parchear el servidor, las copias de seguridad y la detección de secretos pre-commit pasan a ti. La decisión correcta si pagas el precio; peor que GitHub si lo descuidas. La visión de este sitio: el autoalojamiento solo funciona acompañado de sus controles compensatorios.
No des claves de root a entornos que pueden ser comprometidos: privilegio mínimo en claves SSH
Registrar una clave de root en producción desde un entorno efímero y comprometible (pod de GPU, runner de CI, VM desechable) significa que en el momento en que ese entorno se compromete, se toma producción con root. Solución: sin claves de root en entornos efímeros; quita las claves cuando no se usen; si se necesita de nuevo, usa un usuario no-root más una clave restringida a un comando que limite la clave a una sola operación. Una clave reutilizada es tu activo más crítico — nunca construyas un montaje de 'una fuga, todo'.
Mantener el .env fuera de la web pública en hosting compartido
La solución real: el cuerpo de la app fuera del docroot, solo public/ expuesto. Frena la hemorragia con .htaccess, hazlo permanente reestructurando, luego autocomprueba. La visión de este sitio: esto no es el descuido de una persona sino un mal patrón estandarizado por el sector — arréglalo con proceso, no con vigilancia. bootstrap-redirect vence al symlink.