/uses

Cómo está montada
esta web.

Notas sobre la máquina y el software que sirve arnauserver.me. Una VM pequeña en Azure, nginx, HTML estático, y la configuración que la mantiene en pie.

Máquina

VPS: Azure VM Standard_B1s · 1 vCPU AMD EPYC · 1 GB RAM · 62 GB SSD
Región: West Europe (Países Bajos)
SO: Ubuntu Server 24.04 LTS · kernel 6.17.0-azure
Filesystem: ext4 con fstrim.timer semanal · swap de 2 GB
Tuning: vm.swappiness=10, journald cap 50 MB, snap eliminado
Updates: unattended-upgrades con reinicio automático a las 04:00 si toca

Web stack

HTTP server: nginx 1.24 con módulos brotli (filter + static) y headers-more
TLS: Let's Encrypt ECDSA · TLS 1.2/1.3 · ciphers Mozilla intermediate · HSTS 2 años
Compresión: Brotli y gzip pre-comprimidos (.br, .gz)
Caché: HTML 5 min revalidate · CSS/JS 7 días · imágenes y PDF 30 días immutable
Frontend: HTML y CSS a mano, JS mínimo, sin framework ni build step
Fuentes: Fraunces (serif) e Inter (sans) vía Google Fonts con preconnect

Seguridad

CrowdSec con parsers de sshd y nginx, bouncer en nftables. Bans automáticos y blocklist comunitaria.
UFW sólo expone 22 (rate-limited), 80 y 443.
SSH: sólo ed25519, sin password, MaxAuthTries 3, ciphers chacha20/aes-gcm, KEX sntrup761x25519.
nginx: server tokens off, HSTS, CSP, COOP, CORP, Referrer-Policy, Permissions-Policy, X-Frame-Options. Catch-all 444 para Host/SNI desconocidos, ssl_reject_handshake on.
Rate-limit 30 req/min global con burst 20.
Header Server sobrescrito; bloqueo de .bak, .old, .git y similares.

Arquitectura

   Internet
       │
       ▼
   ┌──────────────────────────────────────────┐
   │  Azure VM (Ubuntu 24.04, 1 vCPU, 1 GB)   │
   │                                          │
   │   ┌───────┐    ┌──────────┐              │
   │   │  UFW  │ ──▶│ nftables │ ◀─ CrowdSec  │
   │   └───┬───┘    └──────────┘              │
   │       │ 80/443                           │
   │       ▼                                  │
   │   ┌──────────┐                           │
   │   │  nginx   │ ── /var/www/html (static) │
   │   │  1.24    │ ── /vitals  → :8082       │
   │   └──────────┘                           │
   │       │                                  │
   │       │ logs                             │
   │       ▼                                  │
   │   ┌──────────┐                           │
   │   │ journald │ ◀── ssh-attack-alert.sh   │
   │   │   50 MB  │     (cron 5m → msmtp)     │
   │   └──────────┘                           │
   └──────────────────────────────────────────┘

Automatización

Certbot renueva el certificado vía certbot.timer, 30 días antes de expirar.
Cron de 5 minutos: ssh-attack-alert.sh compara la lista de IPs baneadas y envía aviso por msmtp si cambia.
Status: un timer regenera /status.json cada minuto con uptime, load, último deploy y días hasta expirar el cert.
Deploy: hook post-commit en /var/www/html/.git regenera .gz y .br de los ficheros cambiados.
Email saliente: msmtp contra smtp.gmail.com con App Password; el cron de azureuser entrega a inbox vía MAILTO=.

Cliente personal

Daily driver: MacBook Air M4 · macOS Sequoia
Linux dev: Arch Linux ARM y BlackArch en VMware Fusion (aarch64)
WM: bspwm + polybar + sxhkd + picom + eww
Shell: zsh con starship
Editor: Neovim y VSCode
Terminal: Ghostty · WezTerm