Por Mid 
2FAuth Docker Compose es una forma práctica de alojar tus códigos TOTP/HOTP bajo tu control, sin depender de una app cerrada en un único móvil. En esta guía desplegamos 2FAuth con Docker Compose, configuramos variables críticas y dejamos una base sólida para backups y acceso seguro.
- Qué montarás: servicio 2FAuth + persistencia + secretos mínimos.
- Qué evitarás: perder cuentas 2FA por cambio de dispositivo sin copia.
- Qué reforzarás: privacidad y continuidad operativa de tus códigos OTP.
Contenido
¿Qué es 2FAuth Docker Compose?
2FAuth Docker Compose combina la aplicación web 2FAuth con la simplicidad de orquestar contenedores en un solo fichero docker-compose.yml. 2FAuth está diseñado como alternativa self-hosted a generadores OTP tradicionales y su documentación oficial destaca soporte multiusuario, import/export, cifrado y autenticación moderna.
Para referencia técnica directa, revisa la documentación oficial de 2FAuth Docs, la imagen publicada en Docker Hub y las recomendaciones generales de Docker Compose.
Para homelab, este enfoque encaja con stacks ya populares del blog como Authelia Docker Compose, Traefik Docker Compose y Portainer Docker Compose. Si ya tienes dashboard, puedes añadir 2FAuth como servicio interno con acceso protegido.
2FAuth Docker Compose paso a paso
Empieza con un fichero mínimo y variables en .env (no lo subas a Git):
services:
2fauth:
image: 2fauth/2fauth:latest
container_name: 2fauth
restart: unless-stopped
ports:
- "127.0.0.1:8000:8000"
environment:
APP_NAME: "2FAuth"
APP_ENV: "production"
APP_KEY: "${APP_KEY}"
DB_DATABASE: "/2fauth/database/database.sqlite"
TRUSTED_PROXIES: "*"
volumes:
- ./data:/2fauth
Lanza con docker compose up -d y valida logs. Si usas proxy inverso, publica 2FAuth detrás de HTTPS con cabeceras correctas. En producción, evita exponer el puerto directo a Internet y confía en proxy + control de acceso.
2FAuth Docker Compose: seguridad y hardening
La prioridad no es solo “que arranque”, sino proteger el secreto más sensible del sistema: tus semillas OTP. En 2FAuth Docker Compose aplica estas medidas:
- APP_KEY robusta: genera una clave larga aleatoria y guárdala en un gestor de secretos.
- HTTPS obligatorio: no uses 2FAuth en claro fuera de laboratorio.
- Acceso restringido: VPN, allowlist o autenticación previa en el proxy.
- Actualizaciones: revisa cambios de imagen y aplica parches de seguridad.
- MFA para el panel: activa mecanismos adicionales donde aplique.
Si quieres reforzar aún más, combina con CrowdSec Docker Compose para detección de abuso y con Watchtower Docker Compose para estrategia de actualización controlada.
En paralelo, valida políticas de contraseña y MFA siguiendo guías de referencia como OWASP Authentication Cheat Sheet, especialmente si vas a exponer el servicio fuera de una red privada.
2FAuth Docker Compose: backups y recuperación
En 2FAuth Docker Compose, perder el volumen implica perder cuentas 2FA. Programa copias del directorio persistente y prueba restauración en un entorno aparte. Un backup útil debe incluir base de datos, configuración y versión de imagen para reproducir exactamente el estado.
Para automatizar copias cifradas puedes apoyarte en prácticas de backup descritas en soluciones open source y en recomendaciones de retención por niveles; como base operativa, consulta la estrategia 3-2-1 y documentación de almacenamiento seguro en proveedores compatibles S3.
| Elemento | Qué guardar | Frecuencia |
|---|---|---|
| Volumen de datos | Base SQLite + archivos de app | Diaria |
| .env | Variables sensibles (cifrado) | Con cada cambio |
| Compose file | Versión declarativa del stack | Versionado Git |
La restauración debe ensayarse: importa una copia en host alternativo y verifica que los códigos se generan y que el acceso web funciona con TLS correcto. Sin prueba de restore, el backup es una suposición.
2FAuth Docker Compose: arquitectura recomendada para homelab serio
En entornos caseros avanzados y pequeños equipos, una arquitectura limpia para 2FAuth Docker Compose suele incluir: (1) red interna de backend, (2) proxy inverso con TLS en frontal, (3) almacenamiento persistente en SSD y (4) copia remota cifrada. Este patrón evita abrir el servicio de OTP directamente y te da trazabilidad de acceso mediante logs del proxy.
Si ya tienes un stack con dashboards y autenticación centralizada, integra 2FAuth como aplicación interna y limita el acceso por grupo o por IP. De esa manera, aunque el servicio sea web, su superficie se mantiene controlada. Un error habitual es publicar el puerto 8000 en todo el host y confiar únicamente en contraseña; para un gestor de OTP eso es insuficiente.
También conviene definir una política de continuidad: quién tiene acceso de emergencia, dónde está documentado el proceso de recuperación y cada cuánto se prueban backups. En seguridad operativa, el valor de 2FAuth Docker Compose no está solo en generar códigos, sino en que puedas recuperarlos bajo presión sin improvisar.
2FAuth Docker Compose: endurecimiento en reverse proxy
Cuando publiques 2FAuth Docker Compose detrás de Traefik o Nginx Proxy Manager, aplica cabeceras de seguridad y sesiones con expiración razonable. Forzar HTTPS, habilitar HSTS y limitar intentos de autenticación reduce ruido de ataques automatizados. Si tu entorno lo permite, añade autenticación previa en el proxy para que el servicio no reciba tráfico anónimo.
Para instalaciones con dominios públicos, monitoriza certificados y caducidad igual que harías con cualquier app sensible. Una caída de TLS no solo afecta disponibilidad: puede romper flujos de login o exponer credenciales en redes inseguras si alguien desactiva validaciones por urgencia.
Por último, revisa permisos de filesystem en el volumen de datos. En muchos despliegues, el riesgo viene de montajes demasiado abiertos donde otros contenedores pueden leer información que no deberían tocar. Mantén el principio de mínimo privilegio también a nivel de Docker.
2FAuth Docker Compose: errores frecuentes
Los fallos típicos incluyen permisos de escritura en volumen, APP_KEY mal formada y cabeceras de proxy incorrectas que rompen sesiones seguras. Si ves bucles de login, revisa cookies/HTTPS y la configuración de confianza del proxy. Si el contenedor reinicia, inspecciona docker logs 2fauth y valida variables obligatorias.
Otro problema común en 2FAuth Docker Compose es iniciar el servicio sin haber generado y persistido una APP_KEY estable: si cambias esa clave sin migración, puedes invalidar datos cifrados y sesiones. Guarda esta variable en tu gestor de secretos y documenta su rotación de forma explícita.
También aparecen errores al migrar entre hosts con distinta hora del sistema. Como TOTP depende de tiempo, un desfase NTP en servidor o cliente hace que los códigos parezcan “incorrectos” aunque todo lo demás esté bien. Verificar sincronización horaria debería estar en tu checklist de diagnóstico.
2FAuth Docker Compose: integración con operaciones diarias
Para que 2FAuth Docker Compose aporte valor real, intégralo en tus procedimientos diarios: alta/baja de cuentas, revisión trimestral de servicios obsoletos y exportaciones cifradas en cada cambio mayor. Si gestionas decenas de cuentas, define nomenclatura consistente por servicio, entorno y criticidad; facilita auditoría y reduce errores humanos.
Si tu equipo usa runbooks, añade un apartado específico de OTP recovery: qué hacer si un operador pierde dispositivo, cómo revocar y regenerar secreto, y cómo validar que la nueva configuración no deja cuentas huérfanas. Son detalles que normalmente se ignoran hasta que aparece una urgencia real.
Además, enlazar 2FAuth Docker Compose con un flujo de copias automáticas y pruebas de restauración mensual te da una métrica clara de madurez. En seguridad, lo que no se prueba, no existe.
FAQ sobre 2FAuth Docker Compose
¿Puedo migrar desde Google Authenticator?
Sí, 2FAuth soporta import/export para varias apps OTP.
¿Sirve para varios usuarios?
Sí, puedes compartir instancia y separar cuentas.
¿Necesito base externa?
Para uso doméstico, SQLite suele bastar; en escenarios mayores puedes evaluar backend más robusto.
¿Puedo usarlo sin exponer puertos públicos?
Sí, es lo recomendable: acceso vía VPN o proxy interno.
¿Qué pasa si pierdo el servidor?
Si tienes backup íntegro del volumen y variables clave, puedes restaurar la instancia en otro host.
¿Cuándo merece pasar a HA?
Cuando el servicio se vuelve crítico para un equipo y no solo para uso personal.
Conclusión: 2FAuth Docker Compose
2FAuth Docker Compose es una mejora directa de control y resiliencia sobre tus códigos 2FA: despliegue simple, datos bajo tu dominio y recuperación predecible. Si ya operas servicios self-hosted, añadir 2FAuth con buenas prácticas de backup y hardening es un paso lógico para profesionalizar tu seguridad diaria.
La clave está en no tratarlo como “otra app más”, sino como un activo de seguridad. Con despliegue disciplinado, controles de acceso y restauración ensayada, 2FAuth Docker Compose te permite reducir dependencia de proveedores cerrados y mejorar continuidad operativa. Ese equilibrio entre comodidad y control es justo lo que busca un homelab maduro o un equipo técnico pequeño.