Authelia en un VPS: instalación, configuración y mantenimiento

Instalar Authelia en un VPS, configurarla y mantenerla posteriormente es una forma eficaz de reforzar la seguridad de sus aplicaciones y servicios web mediante un sistema de autenticación centralizado y verificación de dos factores, desplegado en su propio servidor virtual.

En un mundo donde la seguridad de los datos se vuelve críticamente importante, el uso de sistemas de autenticación fiables no es un capricho, sino una necesidad. Authelia representa una potente solución para implementar Single Sign-On (SSO) y Two-Factor Authentication (2FA) frente a sus aplicaciones web. Desplegada en su propio VPS, Authelia le permite controlar completamente el proceso de autenticación, protegiendo el acceso a servicios como Nextcloud, Gitea, Grafana o cualquier otro recurso accesible a través de un reverse proxy.

En este artículo, examinaremos en detalle qué es Authelia, para qué sirve, qué requisitos de sistema tiene y cómo realizar su instalación paso a paso en un VPS utilizando Docker y Docker Compose. También cubriremos la integración con reverse proxies populares como Nginx y Caddy, la configuración de HTTPS, cuestiones de copias de seguridad y actualizaciones, y le ayudaremos a elegir la configuración óptima de VPS para su carga de trabajo. Nuestro objetivo es proporcionar una guía completa que permita incluso a los administradores de sistemas principiantes desplegar y mantener Authelia con éxito.

¿Qué es Authelia y por qué se necesita en un servidor?

Authelia es una solución de autenticación de código abierto que funciona como una capa intermedia (middleware) delante de sus aplicaciones web. Su función principal es proporcionar acceso centralizado con soporte para Single Sign-On (SSO) y una sólida autenticación de dos factores (2FA) para servicios que por sí mismos no tienen soporte integrado para métodos de verificación avanzados. En esencia, Authelia actúa como un guardián que verifica las credenciales del usuario antes de permitirle el acceso a la aplicación de destino.

Cuando un usuario intenta acceder a una aplicación protegida, Authelia intercepta la solicitud, redirige al usuario a su página de inicio de sesión, donde introduce su nombre de usuario y contraseña, y luego, si es necesario, pasa por el segundo factor de autenticación (por ejemplo, a través de una aplicación TOTP o por correo electrónico). Después de una autenticación exitosa, Authelia establece una cookie de sesión y redirige al usuario a la aplicación original, otorgándole acceso. Esto permite proteger múltiples servicios utilizando un único conjunto de credenciales y una única política de seguridad.

Escenarios de uso de Authelia self-hosted en un VPS

El despliegue de Authelia en un VPS abre amplias oportunidades para mejorar la seguridad de su infraestructura. Aquí hay algunos escenarios típicos:

• Protección de aplicaciones web internas: Si tiene servicios autoalojados, como Nextcloud para almacenamiento en la nube, Gitea para control de versiones, Grafana para monitoreo, Portainer para la gestión de contenedores Docker o incluso un simple panel de administración para su sitio web, Authelia puede agregar una capa de autenticación robusta.
• Unificación del acceso: En lugar de administrar cuentas en cada aplicación por separado, Authelia permite centralizar la gestión de usuarios (por ejemplo, a través de LDAP o un archivo YAML), simplificando la administración y mejorando la experiencia del usuario gracias al SSO.
• Refuerzo de la seguridad con 2FA: Muchas aplicaciones internas no ofrecen 2FA o tienen opciones limitadas. Authelia añade soporte para TOTP (Time-based One-Time Password) o U2F (Universal 2nd Factor), así como autenticación por correo electrónico, aumentando significativamente el nivel de protección contra accesos no autorizados.
• Protección de API: Authelia puede utilizarse para proteger interfaces API, requiriendo autenticación antes de acceder a datos o funciones.

Ventajas de Authelia Docker en un VPS

El uso de Docker para instalar Authelia en un VPS ofrece una serie de ventajas significativas:

• Aislamiento: Authelia funciona en un contenedor aislado, sin afectar a otros servicios en su VPS. Esto reduce los conflictos de dependencias y simplifica la gestión.
• Portabilidad: Los contenedores son fáciles de trasladar entre diferentes entornos o servidores VPS.
• Reproducibilidad: Siempre puede estar seguro de que Authelia funcionará de la misma manera en cualquier entorno con Docker.
• Facilidad de despliegue: Docker Compose permite definir toda la infraestructura de Authelia (el propio servicio, la base de datos) en un solo archivo, lo que simplifica enormemente la instalación de Authelia y su gestión.
• Facilidad de actualizaciones: La actualización de Authelia se reduce a actualizar la imagen de Docker y reiniciar el contenedor.

Al elegir la contenedorización, obtiene una solución flexible, segura y gestionable para la autenticación centralizada en su propio servidor.

Requisitos del sistema y preparación previa para la instalación de Authelia

Antes de proceder con la instalación de Authelia, es importante asegurarse de que su VPS cumple con los requisitos mínimos del sistema y realizar una serie de configuraciones preliminares. Esto garantizará un funcionamiento estable y seguro del servicio.

Sistema operativo y recursos de hardware del VPS

• Sistema operativo: Authelia, como contenedor Docker, puede ejecutarse en cualquier distribución de Linux que soporte Docker. Se recomiendan versiones LTS (Long Term Support) de distribuciones de servidor, como:
  • Ubuntu 22.04 LTS o posterior
  • Debian 11 (Bullseye) o posterior
  • CentOS Stream 8/9
  Asegúrese de que el sistema esté actualizado a la última versión y de que todos los paquetes necesarios estén instalados.
• Procesador (CPU): Para la mayoría de los escenarios de uso de Authelia, 1 vCPU es suficiente. Con un número muy elevado de usuarios (cientos de autenticaciones simultáneas) o la integración con directorios LDAP pesados, es posible que se necesiten 2 vCPU.
• Memoria RAM: Authelia por sí misma consume poca RAM, alrededor de 50-100 MB. Sin embargo, para un funcionamiento estable de todo el sistema (SO, demonio Docker, Authelia, así como otros servicios en el VPS) se recomienda un mínimo de 1 GB de RAM. Lo óptimo es 2 GB, lo que proporcionará un margen para el almacenamiento en caché y las cargas máximas.
• Espacio en disco: Authelia no requiere mucho espacio. Para Authelia y su base de datos (SQLite por defecto o un pequeño PostgreSQL) son suficientes 5-10 GB. Sin embargo, para el sistema operativo, las imágenes de Docker y los registros, se recomiendan al menos 25-50 GB de disco SSD. Los discos NVMe proporcionarán un mejor rendimiento.

Instalación previa de Docker y Docker Compose

Authelia está diseñada para funcionar en contenedores Docker, por lo que la instalación de Docker Engine y Docker Compose es un paso obligatorio.

Instalación de Docker Engine

Para Ubuntu/Debian, ejecute los siguientes comandos:

sudo apt update
sudo apt install ca-certificates curl gnupg lsb-release
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Añada su usuario al grupo docker para no tener que usar sudo en cada comando de Docker:

sudo usermod -aG docker $USER
newgrp docker

Verifique la instalación de Docker:

docker run hello-world

Instalación de Docker Compose

En las versiones modernas de Docker, Docker Compose se instala como un plugin de Docker (docker-compose-plugin), como se muestra arriba. Si utiliza una versión antigua de Docker o desea instalar Docker Compose como un ejecutable separado, puede hacerlo de la siguiente manera:

sudo curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose

Verifique la instalación de Docker Compose:

docker compose version

Configuración del nombre de dominio y registros DNS

Para el correcto funcionamiento de Authelia y el reverse proxy con HTTPS, necesitará:

1. Nombre de dominio: Registre un nombre de dominio si aún no tiene uno.
2. Registros DNS: Cree los siguientes registros A en su proveedor de DNS, apuntando a la dirección IP de su VPS:
   • auth.yourdomain.com (para Authelia)
   • app1.yourdomain.com (para la primera aplicación a proteger)
   • app2.yourdomain.com (para la segunda aplicación a proteger)
   • Y así sucesivamente para cada aplicación que planee proteger.
   Asegúrese de que estos registros estén configurados y se hayan propagado (puede tardar varias horas).

Servidor de correo para 2FA y restablecimiento de contraseña

Authelia utiliza el correo electrónico para enviar códigos 2FA (si se elige este método) y enlaces para restablecer la contraseña. Necesitará acceso a un servidor SMTP. Puede ser:

• Proveedor SMTP externo: SendGrid, Mailgun, AWS SES, Gmail SMTP (con limitaciones). Esta es la opción más sencilla y fiable.
• Servidor de correo propio: Si ya tiene su propio servidor de correo en el VPS.

Prepare las credenciales SMTP (host, puerto, nombre de usuario, contraseña), ya que las necesitará al