🧱 FASE 0 \u2014 Suposiciones<\/h1>\n\n\n\n
Asumimos que:<\/p>\n\n\n\n
- \n
- Tienes conocimientos\/experiendia en en este mundo<\/li>\n\n\n\n
- Ya has instalado el SO y activado el acceso por SSH y…<\/li>\n\n\n\n
- Ya entras por SSH<\/strong><\/li>\n\n\n\n
- El sistema est\u00e1 actualizado<\/li>\n\n\n\n
- Est\u00e1s como usuario con privilegios<\/li>\n<\/ul>\n\n\n\n
🔹 FASE 1 \u2014 Actualizar sistema (base limpia)<\/h1>\n\n\n\n
sudo apt update
\nsudo apt upgrade -y
\nsudo reboot<\/code><\/pre>\n\n\n\n🔹 FASE 2 \u2014 Instalar NGINX (Servidor Web)<\/h1>\n\n\n\n
sudo apt install nginx -y<\/code><\/pre>\n\n\n\nComprobamos que funciona<\/h3>\n\n\n\n
Desde un PC en la misma red, con nuestro navegador preferido: http:\/\/IP_DE_LA_RASPI<\/strong> <– para conocer la IP, solo tienes que buscarla en tu router, o con AdvanceIP Scanner, pero si no, lo m\u00e1s r\u00e1pido es conectarle un cable de video (HDMI) y al acabar de iniciarse, te muestra la IP asignada. (M\u00e1s adelante, veremos para poner una IP fija).<\/p>\n\n\n\n
Si todo ha ido bien… ver\u00edamos esto en nuestro Navagador:<\/p>\n\n\n
\n![\"\"](\"https:\/\/www.sinetiqueta.com\/wp-content\/uploads\/2026\/02\/image.png\")
<\/figure>\n<\/div>\n\n\n📌 Guarda\/Apunta esta ruta:<\/p>\n\n\n\n
\/var\/www\/html<\/code><\/pre>\n\n\n\n🔹 FASE 3 \u2014 Instalar PHP + PHP-FPM (optimizado)<\/h1>\n\n\n\n
sudo apt install php php-fpm php-cli php-mysql php-json php-curl php-zip php-gd php-mbstring php-xml -y<\/code><\/pre>\n\n\n\nComprobamos versi\u00f3n<\/h3>\n\n\n\n
php -v<\/code><\/pre>\n\n\n\nA d\u00eda de hoy: 8.4<\/strong><\/p>\n\n\n\n
PHP 8.4<\/strong>.16 (cli) (built: Dec 18 2025 21:19:25) (NTS)\nCopyright (c) The PHP Group\nBuilt by Debian\nZend Engine v4.4.16, Copyright (c) Zend Technologies\n with Zend OPcache v8.4<\/strong>.16, Copyright (c), by Zend Technologies<\/code><\/pre>\n\n\n\n🔹 FASE 4 \u2014 Conectar Nginx con PHP<\/h1>\n\n\n\n
Editamos el site por defecto:<\/p>\n\n\n\n
sudo nano \/etc\/nginx\/sites-available\/default<\/code><\/pre>\n\n\n\nBuscamos esta l\u00ednea (en mi caso, l\u00ednea 43):<\/p>\n\n\n\n
# Add index.php to the list if you are using PHP\n index index.html index.htm index.nginx-debian.html;<\/code><\/pre>\n\n\n\nY la dejamos tal que as\u00ed:<\/p>\n\n\n\n
# Add index.php to the list if you are using PHP\n index index.php index.html index.htm index.nginx-debian.html;<\/code><\/pre>\n\n\n\nEn el mismo archivo, activamos PHP<\/strong> (dentro del bloque
server {}<\/code>), SOLO DEBEMOS REITRAR LAS # <\/strong>y querar\u00eda tal que as\u00ed:<\/p>\n\n\n\n# pass PHP scripts to FastCGI server\n #\n location ~ \\.php$ {\n include snippets\/fastcgi-php.conf;<\/strong>\n #\n # # With php-fpm (or other unix sockets):\n fastcgi_pass unix:\/run\/php\/php8.4-fpm.sock;<\/strong>\n # # With php-cgi (or other tcp sockets):\n # fastcgi_pass 127.0.0.1:9000;\n }<\/strong><\/code><\/pre>\n\n\n\n⚠️ Si tu PHP es otra versi\u00f3n, compru\u00e9balo con: ls \/run\/php\/<\/code><\/pre>\n\n\n\nReiniciamos servicios<\/h3>\n\n\n\n
sudo systemctl restart nginx\nsudo systemctl restart php8.4-fpm<\/code><\/pre>\n\n\n\n🔹 FASE 5 \u2014 Test r\u00e1pido de PHP<\/h1>\n\n\n\n
sudo nano \/var\/www\/html\/info.php<\/code><\/pre>\n\n\n\nSe abre un archivo vac\u00edo y escribimos este contenido:<\/p>\n\n\n\n
<?php\nphpinfo();<\/code><\/pre>\n\n\n\nDesde el navegador:<\/p>\n\n\n\n
http://IP_DE_LA_RASPI\/info.php<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.sinetiqueta.com\/wp-content\/uploads\/2026\/02\/image-1.png\")
<\/figure>\n\n\n\n✔️ Si ves la p\u00e1gina de PHP \u2192 perfecto
Luego b\u00f3rralo<\/strong> (por seguridad):<\/p>\n\n\n\nsudo rm \/var\/www\/html\/info.php<\/code><\/pre>\n\n\n\n🔹 FASE 6 \u2014 Instalar MariaDB (MySQL)<\/h1>\n\n\n\n
sudo apt install mariadb-server mariadb-client -y<\/code><\/pre>\n\n\n\n- \n
- Asegurar instalaci\u00f3n:<\/li>\n<\/ol>\n\n\n\n
sudo mysql_secure_installation<\/code><\/pre>\n\n\n\nRespuestas recomendadas:<\/p>\n\n\n\n
- \n
- Cambiar root password \u2192 s\u00ed<\/strong><\/li>\n\n\n\n
- Remove anonymous users \u2192 s\u00ed<\/strong><\/li>\n\n\n\n
- Disallow root login remotely \u2192 s\u00ed<\/strong><\/li>\n\n\n\n
- Remove test database \u2192 s\u00ed<\/strong><\/li>\n\n\n\n
- Reload privilege tables \u2192 s\u00ed<\/strong><\/li>\n<\/ul>\n\n\n\n
2. Si el paso uno da error, lo haremos por otro camino:<\/p>\n\n\n\n
1️⃣ Entra a MariaDB como root del sistema<\/h2>\n\n\n\n
sudo mariadb<\/code><\/pre>\n\n\n\nSi entra sin<\/strong> pedir password \u2192 todo correcto.<\/p>\n\n\n\n
\n\n\n\n2️⃣ Asegurar el usuario root (m\u00e9todo moderno)<\/h3>\n\n\n\n
Ejecuta tal cual<\/strong>, una a una, sustituyendo \u00abPASSWORD\u00bb por la que quieras, hazlo l\u00ednea por l\u00ednea:<\/p>\n\n\n\n
ALTER USER 'root'@'localhost' IDENTIFIED BY 'PASSWORD';\nFLUSH PRIVILEGES;<\/code><\/pre>\n\n\n\n📌 Usa una contrase\u00f1a fuerte y gu\u00e1rdala.<\/p>\n\n\n\n
\n\n\n\n3️⃣ Eliminar accesos inseguros<\/h3>\n\n\n\n
Hazlo l\u00ednea por l\u00ednea:<\/p>\n\n\n\n
DELETE FROM mysql.user WHERE User='';\nDROP DATABASE IF EXISTS test;\nDELETE FROM mysql.db WHERE Db='test' OR Db='test\\\\_%';\nFLUSH PRIVILEGES;<\/code><\/pre>\n\n\n\n
\n\n\n\n4️⃣ Salir<\/h3>\n\n\n\n
EXIT;<\/code><\/pre>\n\n\n\n
\n\n\n\n🔎 Comprobaci\u00f3n<\/h2>\n\n\n\n
Prueba:<\/p>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\nSi te pide contrase\u00f1a y entra \u2192 OK<\/strong>.<\/p>\n\n\n\n
🔐 FASE 6.1 SEGURIDAD<\/strong><\/p>\n\n\n\n
1️⃣ ❌ No usar \u00ab
root<\/code>\u00bb en PHP (NUNCA), por eso crearemos un \u00abwebuser\u00bb<\/h1>\n\n\n\nQu\u00e9 es
root<\/code> en MariaDB<\/h3>\n\n\n\nroot<\/code> es:<\/p>\n\n\n\n- \n
- Usuario total<\/strong><\/li>\n\n\n\n
- Puede borrar TODAS las bases<\/li>\n\n\n\n
- Cambiar usuarios<\/li>\n\n\n\n
- Alterar permisos<\/li>\n\n\n\n
- Romper el sistema entero<\/li>\n<\/ul>\n\n\n\n
\n\n\n\nQu\u00e9 pasa si usas
root<\/code> desde PHP<\/h3>\n\n\n\nSi una WebApp tiene:<\/p>\n\n\n\n
- \n
- Un bug<\/li>\n\n\n\n
- Un
include<\/code> mal hecho<\/li>\n\n\n\n- Un
eval<\/code><\/li>\n\n\n\n- Un
upload<\/code> inseguro<\/li>\n\n\n\n- Un SQL Injection<\/li>\n<\/ul>\n\n\n\n
👉 El atacante hereda privilegios root<\/strong>
👉 Puede borrar TODAS las bases
👉 Puede crear usuarios ocultos
👉 Puede persistir<\/p>\n\n\n\n📌 Aunque sea red local, el riesgo existe<\/strong> (malware, dispositivos comprometidos, errores humanos).<\/p>\n\n\n\n
\n\n\n\nEn cambio, usando
webuser<\/code><\/h3>\n\n\n\n- \n
- Acceso solo a sus bases<\/strong><\/li>\n\n\n\n
- Sin privilegios administrativos<\/li>\n\n\n\n
- Da\u00f1os limitados<\/strong><\/li>\n<\/ul>\n\n\n\n
Ejemplo ideal:<\/p>\n\n\n\n
GRANT SELECT, INSERT, UPDATE, DELETE \nON app1_db.* \nTO 'webuser'@'localhost';<\/code><\/pre>\n\n\n\n
\n\n\n\n🎯 Regla de oro<\/h2>\n\n\n\n
\n
PHP = usuario limitado<\/strong>
Admin = root (solo consola)<\/strong><\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\n2️⃣ No exponer MariaDB a la red<\/h1>\n\n\n\n
Qu\u00e9 significa \u201cexponer\u201d<\/h3>\n\n\n\n
Que MariaDB:<\/p>\n\n\n\n
- \n
- Escuche en
0.0.0.0<\/code><\/li>\n\n\n\n- Acepte conexiones desde otras m\u00e1quinas<\/li>\n<\/ul>\n\n\n\n
Ejemplo peligroso:<\/p>\n\n\n\n
bind-address = 0.0.0.0<\/code><\/pre>\n\n\n\n
\n\n\n\nRiesgos reales<\/h3>\n\n\n\n
- \n
- Ataques de fuerza bruta<\/li>\n\n\n\n
- Exploits antiguos<\/li>\n\n\n\n
- Escaneos autom\u00e1ticos<\/li>\n\n\n\n
- Malware interno en la LAN<\/li>\n<\/ul>\n\n\n\n
📌 MariaDB no tiene firewall propio<\/strong>
📌 Es un objetivo habitual<\/p>\n\n\n\n
\n\n\n\nConfiguraci\u00f3n segura (la que queremos)<\/h3>\n\n\n\n
bind-address = 127.0.0.1<\/code><\/pre>\n\n\n\nResultado:<\/p>\n\n\n\n
- \n
- Solo PHP local accede<\/li>\n\n\n\n
- phpMyAdmin funciona<\/li>\n\n\n\n
- Nadie desde fuera entra<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n\u00bfY si alg\u00fan d\u00eda lo necesitas?<\/h3>\n\n\n\n
Entonces:<\/p>\n\n\n\n
- \n
- VPN<\/li>\n\n\n\n
- SSH tunnel<\/li>\n\n\n\n
- Firewall estricto<\/li>\n<\/ul>\n\n\n\n
Nunca \u201cabrir por abrir\u201d.<\/p>\n\n\n\n
\n\n\n\n🧑💻 3️⃣ ✅ Usar siempre
webuser<\/code><\/h1>\n\n\n\nQu\u00e9 es
webuser<\/code><\/h3>\n\n\n\nUn usuario hecho para apps<\/strong>, no para admins<\/strong>.<\/p>\n\n\n\n
Caracter\u00edsticas:<\/p>\n\n\n\n
- \n
- Solo conecta desde
localhost<\/code><\/li>\n\n\n\n- Solo accede a sus BDs<\/li>\n\n\n\n
- Sin
GRANT<\/code>,DROP USER<\/code>, etc.<\/li>\n<\/ul>\n\n\n\n
\n\n\n\nEjemplo realista<\/h3>\n\n\n\n
CREATE DATABASE app1_db;\nCREATE USER 'webuser'@'localhost' IDENTIFIED BY 'password_seguro';\n\nGRANT SELECT, INSERT, UPDATE, DELETE\nON app1_db.*\nTO 'webuser'@'localhost';\n\nFLUSH PRIVILEGES;<\/code><\/pre>\n\n\n\n
\n\n\n\nVentaja clave en nuestro escenario (AIStudio de Google + JSON)<\/h3>\n\n\n\n
Mis futuros proyectos:<\/p>\n\n\n\n
- \n
- Guardan estado en JSON<\/li>\n\n\n\n
- Usan DB para metadatos<\/li>\n<\/ul>\n\n\n\n
👉
webuser<\/code> va sobrado<\/strong>
👉 Menos RAM
👉 Menos riesgo
👉 M\u00e1s estabilidad<\/p>\n\n\n\n🔧FASE 6.2 CREAR
webuser<\/code><\/h1>\n\n\n\n1️⃣ Entra como root en mySQL<\/h3>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\n
\n\n\n\n2️⃣ Crear el usuario (solo local)<\/h3>\n\n\n\n
CREATE USER 'webuser'@'localhost' IDENTIFIED BY 'PASSWORD_FUERTE<\/strong>';<\/code><\/pre>\n\n\n\n📌 Usa una contrase\u00f1a fuerte y gu\u00e1rdala<\/strong>.<\/p>\n\n\n\n
\n\n\n\n3️⃣ Crear una base \u201ccontenedor\u201d inicial (opcional)<\/h3>\n\n\n\n
Si quieres una base com\u00fan:<\/p>\n\n\n\n
CREATE DATABASE apps_db\nCHARACTER SET utf8mb4\nCOLLATE utf8mb4_unicode_ci;<\/code><\/pre>\n\n\n\n(O luego hacemos una BD por app, sin problema).<\/p>\n\n\n\n
\n\n\n\n4️⃣ Dar permisos limitados y correctos<\/strong><\/h3>\n\n\n\n
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, INDEX, ALTER\nON apps_db.*\nTO 'webuser'@'localhost';<\/code><\/pre>\n\n\n\n⚠️ NO<\/strong> damos:<\/p>\n\n\n\n
- \n
DROP<\/code><\/li>\n\n\n\nGRANT OPTION<\/code><\/li>\n\n\n\nSUPER<\/code><\/li>\n<\/ul>\n\n\n\n
\n\n\n\n5️⃣ Aplicar cambios<\/h3>\n\n\n\n
FLUSH PRIVILEGES;\nEXIT;<\/code><\/pre>\n\n\n\n
\n\n\n\n🔎 Verificaci\u00f3n (muy importante)<\/h1>\n\n\n\n
mysql -u webuser -p<\/code><\/pre>\n\n\n\nLuego:<\/p>\n\n\n\n
SHOW DATABASES;<\/code><\/pre>\n\n\n\nDebe mostrar:<\/p>\n\n\n\n
apps_db<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.sinetiqueta.com\/wp-content\/uploads\/2026\/02\/image-2.png\")
<\/figure>\n<\/div>\n\n\nSi es as\u00ed \u2192 perfecto<\/strong> ✅<\/p>\n\n\n\n
Salimos:<\/p>\n\n\n\n
exit;<\/code><\/pre>\n\n\n\n
\n\n\n\n🧠 Estado actual del sistema<\/h1>\n\n\n\n
Ahora tenemos:<\/p>\n\n\n\n
- \n
- Seguridad correcta incluso en LAN<\/li>\n\n\n\n
root<\/code> \u2192 solo administraci\u00f3n<\/li>\n\n\n\nwebuser<\/code> \u2192 WebApps \/ phpMyAdmin<\/li>\n\n\n\n- DB lista para trabajar<\/li>\n<\/ul>\n\n\n\n
🔹 FASE 7 \u2014 Ajustar MariaDB para Raspberry Pi 3B<\/h1>\n\n\n\n
sudo nano \/etc\/mysql\/mariadb.conf.d\/50-server.cnf<\/code><\/pre>\n\n\n\nJusto debajo de [mariadbd]<\/strong> ponermos:<\/p>\n\n\n\n
# ===============================\n# Optimizaci\u00f3n para Raspberry Pi\n# ===============================\n\n# Escuchar solo en localhost (SEGURIDAD)\nbind-address = 127.0.0.1\n\n# Conexiones\nmax_connections = 20\nthread_cache_size = 8\n\n# Buffers generales\nkey_buffer_size = 16M\ntable_open_cache = 200\ntable_definition_cache = 200\n\n# InnoDB (ajustado a 1GB RAM)\ninnodb_buffer_pool_size = 64M\ninnodb_log_buffer_size = 8M\ninnodb_file_per_table = 1\ninnodb_flush_log_at_trx_commit = 2\n\n# Timeouts\nwait_timeout = 300\ninteractive_timeout = 300\n\n# Desactivar query cache (obsoleto)\nquery_cache_type = 0\nquery_cache_size = 0\n\n# Logs (m\u00ednimos)\nslow_query_log = 0<\/code><\/pre>\n\n\n\n
\n\n\n\n🧾 Qu\u00e9 hace cada cosa (explicado r\u00e1pido)<\/h2>\n\n\n\n
🔐 Seguridad<\/h3>\n\n\n\n
bind-address = 127.0.0.1<\/code><\/pre>\n\n\n\n👉 MariaDB solo accesible localmente<\/strong> (PHP + phpMyAdmin)<\/p>\n\n\n\n
\n\n\n\n🧠 RAM controlada<\/h3>\n\n\n\n
innodb_buffer_pool_size = 64M\nkey_buffer_size = 16M<\/code><\/pre>\n\n\n\n👉 Suficiente para:<\/p>\n\n\n\n
- \n
- Metadatos<\/li>\n\n\n\n
- Usuarios<\/li>\n\n\n\n
- Configuraci\u00f3n<\/li>\n\n\n\n
- Tablas peque\u00f1as<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n⚡ Rendimiento equilibrado<\/h3>\n\n\n\n
innodb_flush_log_at_trx_commit = 2<\/code><\/pre>\n\n\n\n👉 Mucho menos I\/O en SD
👉 Riesgo aceptable (solo perder\u00edas la \u00faltima transacci\u00f3n en apag\u00f3n)<\/p>\n\n\n\n
\n\n\n\n🚦 Concurrencia realista<\/h3>\n\n\n\n
max_connections = 20<\/code><\/pre>\n\n\n\n👉 M\u00e1s que suficiente para tu uso
👉 Evita que MariaDB se coma la RAM<\/p>\n\n\n\n
\n\n\n\n🔄 Guardar y reiniciar<\/h2>\n\n\n\n
Guarda (
CTRL+O<\/code>,ENTER<\/code>) y sal (CTRL+X<\/code>).<\/p>\n\n\n\n
- Solo conecta desde
- Acepte conexiones desde otras m\u00e1quinas<\/li>\n<\/ul>\n\n\n\n
- Un
- Remove anonymous users \u2192 s\u00ed<\/strong><\/li>\n\n\n\n
- Cambiar root password \u2192 s\u00ed<\/strong><\/li>\n\n\n\n