Saltar al contenido principal

Conceptos básicos de seguridad

Principle del menor privilegio

El principio de menor privilegio significa otorgar a los usuarios y dispositivos solo el acceso mínimo necesario para realizar sus tareas, nunca más. Este enfoque limita el daño potencial de cuentas comprometidas o acciones accidentales y es un concepto clave en la seguridad moderna, incluidos los modelos de confianza cero. Aplica este principio en toda tu configuración de Unraid, especialmente al crear usuarios compartidos y asignar permisos.

Controlar el acceso a carpetas compartidas

Elegir un protocolo de intercambio de archivos de red

Al compartir archivos con su servidor Unraid a través de su red doméstica u oficina, tiene algunas opciones sobre cómo conectar. Unraid admite métodos populares, conocidos como protocolos de comunicación, que ayudan a los dispositivos a comunicarse entre sí.

ProtocoloUso PrincipalVentajaDesventajaCasos de Uso Recomendados
SMB (Bloque de Mensajes del Servidor)Integración nativa con Windows/macOSSoporte incorporado en Windows; admite impresoras y almacenamiento de VM; rápido con archivos grandesVersiones antiguas (SMBv1) inseguras; lento con archivos pequeñosRedes de Windows y Mac; ambientes de recursos mixtos (impresoras, VMs)
NFS (Sistema de Archivos de Red)Integración nativa con Unix/LinuxOptimizado para Linux/Unix; eficiente con archivos pequeños; bajo consumo de recursosRequiere herramientas adicionales para Windows; la confiabilidad de la red es crítica; bloqueo limitadoEntornos Linux y Unix; operaciones de archivos pequeños; cargas de trabajo de datos estáticos
FTP (Protocolo de Transferencia de Archivos)Compatibilidad multiplataformaSoporte universal para cliente; configuración sencilla; transferencias de archivos por lotesProtocolo en texto plano sin cifrado; credenciales enviadas sin cifrar; seguridad obsoletaSolo para transferencias no sensibles o antiguas; usa FTPS (FTP sobre TLS) o SFTP (FTP sobre SSH) para una transferencia de archivos segura
important

A partir de la versión 6.9 de Unraid, se ha eliminado el soporte para AFP (Apple Filing Protocol). Para asegurar que sus computadoras Mac funcionen bien con su servidor Unraid, incluyendo funciones como copias de seguridad de Time Machine, ve a Settings → SMB y activa Mejorar la interoperabilidad con macOS.

Deciding which protocol to use depends on the types of devices you have and what you need to do with your files. By default, Unraid enables SMB because it's widely supported by modern Windows and macOS systems. NFS and FTP are turned off but can be enabled if needed.

Por ejemplo, si usas un cliente FTP para conectarte a tu servidor Unraid, puedes transferir fácilmente grandes archivos e incluso pausar y reanudar tus cargas o descargas si es necesario.

Gestionar visibilidad de las carpetas compartidas

Puede configurar diferentes permisos de acceso para las carpetas de red (shares) en Unraid de la siguiente manera:

  1. Ir a la pestaña Shares: Comienza haciendo clic en la pestaña Shares en el WebGUI.

  2. Seleccionar un Share: Elija un share existente que desee ajustar.

  3. Desplazarse a Configuración de Seguridad: Al final de la página de configuración del share, verás una sección para opciones de seguridad para cada protocolo de red habilitado.

  4. Ajustar la Configuración de Exportación: Esta configuración controla cómo aparece el share en la red. Tienes tres opciones:

    • : El share es visible y cualquiera que explore la red puede acceder a él.
    • Sí (Oculto): El share no aparecerá en las listas de búsqueda de la red, pero si alguien conoce el nombre del share, aún puede acceder a él.
    • No: El share está completamente oculto y no se puede acceder a través de ese protocolo específico.

Al modificar estas opciones, puedes gestionar quién puede ver y acceder a cada share, haciendo más fácil mantener todo seguro mientras te aseguras de que las personas adecuadas tengan el acceso que necesitan, ya sea que estén usando conexiones SMB, NFS o FTP.

Estableciendo permisos de usuario para los shares

El control de seguridad de los shares determina cómo los usuarios acceden a los archivos compartidos en su sistema. Puedes configurar un share para que requiera un nombre de usuario y contraseña para acceder a los archivos, limitar el acceso a solo lectura o hacer que sea completamente público sin necesidad de credenciales.

:::note[Example]

Si creas un share de películas en tu servidor Unraid, puedes elegir si se requiere un nombre de usuario y contraseña válidos solo para leer datos o permitir acceso público. Si necesitas agregar usuarios, un usuario raíz puede crear usuarios de shares siguiendo el proceso en Gestión de usuarios.

:::

Cuando vayas a la pestaña Shares y selecciones un share, verás su configuración, incluyendo una sección de seguridad donde puedes gestionar permisos de acceso basados en los protocolos que has habilitado. De esta manera, puedes personalizar quién tiene acceso a tus archivos dependiendo de sus necesidades.

La configuración de Seguridad tiene las siguientes opciones:

TipoExplicaciónCaso de Uso Común
PúblicoAcceso abierto: Todos pueden leer y escribir en esta carpeta.Apto para información no sensible, como medios compartidos o descargas públicas.
SeguroAcceso limitado: Todos pueden leer, pero solo ciertos usuarios pueden escribir.Bueno para proyectos compartidos donde se necesita colaboración, como carpetas de equipo.
PrivadoAcceso restringido: Solo usuarios específicos pueden leer o escribir.Ideal para información sensible, como registros financieros o documentos personales.
Windows Acceso SMB

Modern versions of Windows (Windows 10 1709+, Windows 11, Server 2019+) block access to Public (guest/anonymous) SMB shares by default, due to stricter security policies. Attempting to connect to a public share will usually fail unless you manually enable insecure guest logons in Windows settings - which is not recommended for security reasons.

Práctica recomendada: Configura cuentas de usuario y contraseñas para tus shares de Unraid y conéctate utilizando esas credenciales para un acceso fiable desde Windows.

Limitación de Credenciales: Windows solo permite un conjunto de credenciales de inicio de sesión por servidor a la vez. Si intentas conectarte a diferentes comparticiones en el mismo servidor con diferentes credenciales, la conexión fallará.

Solución Alternativa: Si encuentras problemas de credenciales, intenta conectarte a una compartición usando el nombre del servidor y a otra usando su dirección IP. Windows los tratará como servidores separados.

Para más detalles, consulta la documentación de Microsoft sobre el acceso de invitados SMB.

Seguridad de la red

Establecer una contraseña de root fuerte

Cuando accedes por primera vez a la WebGUI después de la instalación, se te requiere configurar una contraseña para el usuario root. Sin embargo, Unraid no impone requisitos de complejidad de contraseña: depende de ti como usuario establecer el grado de seguridad de la contraseña para tu servidor.

  • Ve a la pestaña Usuarios, selecciona el root user y establece una contraseña.
  • Considera usar el plugin Dynamix Password Validator desde Community Apps para obtener comentarios en tiempo real sobre la fuerza de la contraseña.
  • Para orientación adicional, consulta la herramienta de fuerza de contraseñas de Bitwarden disponible en línea.

Revisar y minimizar el reenvío de puertos

Reenviar puertos desde tu router a tu servidor Unraid puede ser necesario para el acceso remoto a servicios, pero expone tu red a riesgos significativos. Solo reenvía puertos que comprendas completamente y necesites.

Puerto(s)Uso típicoRiesgo de seguridadAlternativa más segura
80 / 443WebGUI (HTTP/HTTPS)Expone la interfaz de gestión; riesgo de interceptación o fuerza bruta si la contraseña es débilUtiliza Unraid Connect o VPN para acceso remoto, teniendo en cuenta que Unraid Connect requiere reenvío de puertos WAN o UPnP (no un relé de nube siempre activo)
445SMB (compartición de archivos)Expone las comparticiones a internet; riesgo de robo o eliminación de datosUsa VPN para un acceso remoto seguro a archivos
111 / 2049NFSExpone comparticiones NFS; riesgos similares a SMBUsa VPN para acceso remoto
22 / 23SSH/TelnetExpone el acceso a la consola; riesgo de fuerza bruta o robo de credencialesUsa claves SSH o VPN; nunca redirijas Telnet
57xxVNC para VMsExpone consolas VM; riesgo de acceso remoto no autorizadoUsa Unraid Connect o VPN
consejo

Si ves una regla de reenvío de puertos que no entiendes, elimínala y monitorea si hay problemas. Siempre puedes volver a agregarla si es necesario.

precaución

Nunca pongas tu servidor en la DMZ de tu red. Colocar tu servidor Unraid en la DMZ expone todos los puertos a Internet, aumentando dramáticamente el riesgo de un compromiso. Incluso con contraseñas fuertes, esto no se recomienda nunca.

Seguridad del acceso a los shares

Controlar la visibilidad y permisos de los shares

  • Usa la pestaña Shares en el WebGUI para establecer la exportación y las configuraciones de seguridad de cada share.
  • Prefiere comparticiones Privadas o Seguras para datos sensibles. Las comparticiones Públicas son accesibles por cualquiera en la red y están bloqueadas por defecto en las versiones modernas de Windows por razones de seguridad.
  • Asigna cuentas de usuario con solo los permisos necesarios para su función (principio de menor privilegio).
  • Limita el acceso a los shares a usuarios específicos siempre que sea posible.

Asigna permisos de usuario cuidadosamente

  • Asignar usuarios a los shares usando acceso de Solo lectura o Lectura/Escritura según sea necesario.
  • La cuenta de usuario root es para administración del sistema y no puede acceder a comparticiones de red. Crea cuentas de usuario dedicadas para acceso a comparticiones de red.
  • Revisa regularmente los permisos de usuario y elimina cuentas no utilizadas.

Restringe el acceso a los shares a privado o solo lectura

Aunque el acceso sin contraseña a las comparticiones es conveniente, también puede poner en riesgo tus datos si los dispositivos en tu red local se ven comprometidos. Esto incluye PCs, Macs, dispositivos móviles y dispositivos IoT. Por defecto, las comparticiones de Unraid están configuradas para ser leídas y escritas públicamente, lo que significa que cualquier dispositivo en tu red podría potencialmente robar, borrar o cifrar tus archivos si se ve comprometido. Además, los usuarios malintencionados pueden cargar datos no deseados a tu servidor.

  • Establece los shares sensibles como Privados en la pestaña shares del WebGUI.
  • Si un share Público es necesario, configúralo como Solo lectura siempre que sea posible.
  • Solo da acceso de escritura a usuarios autorizados quienes tienen contraseñas fuertes.

Evita exponer el share de flash - o hazlo privado

El dispositivo flash de Unraid contiene archivos críticos del sistema y de configuración. Mientras que puede ser conveniente exponer la compartición flash en SMB para configuración avanzada, esto introduce un riesgo significativo si se deja pública.

  • Solo expone el share de flash si es absolutamente necesario y configúralo como Privado.
  • Requiere un nombre de usuario y una contraseña fuerte para el acceso.
  • Quita o desactiva el share cuando no esté en uso para reducir riesgos.

Mantén tu servidor actualizado

Las actualizaciones regulares son esenciales para la seguridad. Se descubren frecuentemente nuevas vulnerabilidades (CVE), y Lime Technology emite activamente parches para el sistema operativo Unraid. Actualizar solo es efectivo si realmente aplicas las actualizaciones.

  • Busca actualizaciones en Tools → Update OS en el WebGUI.
  • Habilita notificaciones en Settings → Notifications para ser alertado cuando las actualizaciones estén disponibles.
  • Actualiza plugins y contenedores Docker a través de la pestaña Apps para asegurar que todos los componentes sean seguros y compatibles.
  • Aplica las actualizaciones de manera oportuna para proteger tu servidor contra amenazas conocidas.

Usa métodos seguros para la administración remota

Nunca expongas directamente la WebGUI a Internet. En su lugar, utiliza soluciones seguras de acceso remoto:

  • Tailscale es una opción recomendada, con un plugin dedicado para Unraid. Crea una red privada segura (tailnet) para acceder a tu servidor y servicios desde cualquier lugar, sin necesidad de exponer puertos o configurar reglas de firewall complejas.
  • WireGuard VPN está integrado en Unraid y proporciona un túnel seguro y cifrado para la administración remota.
  • OpenVPN está disponible como un plugin o contenedor Docker.
  • Muchos routers modernos ofrecen soporte VPN integrado: consulta la documentación de tu router para la configuración.
  • El plugin Unraid Connect permite el acceso remoto al WebGUI, pero requiere que se abra un puerto en tu router.

* "WireGuard" y el logotipo de "WireGuard" son marcas registradas de Jason A. Donenfeld.