跳至主要内容
五折优惠 全部方案,限时优惠。起价 $2.48/mo
21 min left
安全与网络

最佳五层自托管隐私技术栈

J 作者 Jonas 21 分钟阅读
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

2025 年 3 月, Krebs on Security 报道 称,美国联邦调查人员已将一起 1.5 亿美元的加密货币失窃案直接与 2022 年的 LastPass 数据泄露联系起来。机制很简单:一些客户把助记词存在 LastPass 的 Secure Notes 里,攻击者拿到了加密的保险库备份,而薄弱或较旧的保险库保护让部分保险库内容得以离线破解。

教训不是 LastPass 格外粗心。教训是,你读到的每一起泄露,都是别人的数据被变现,而那封道歉邮件正躺在你的收件箱里。自托管改变了谁能对你的数据这么干。它并不改变总有人能这么干的事实。

这篇文章是写给那些威胁模型为商业数据暴露的读者的,即大科技公司的数据变现和厂商泄露,而非国家级监控、高风险新闻报道、行动主义或法律取证。下文的架构是针对那个特定威胁模型的五层技术栈。

简短版本

这个技术栈有五层。每一层都移除一个常见的大科技依赖,但它们没有一个能让你隐身。

  • 网络: WireGuard 取代商业 VPN,并限制 ISP 或本地网络的可见性。
  • 身份: Vaultwarden 取代托管的密码管理器,并减少厂商侧的泄露暴露。
  • 搜索: SearXNG 通过你的 VPS 代理搜索、并把它们挡在你登录的搜索账户之外,从而减少搜索画像。
  • 文件和照片: Nextcloud AIO 和 Immich 取代 Google Drive 和 Google Photos,切断云端内容扫描和跨产品数据关联。
  • 团队通信: Mattermost 或 Rocket.Chat 把团队聊天历史从 Slack、Discord 或 Teams 上挪走。
  • 主要局限: 你的 VPS 提供商仍能看到基础设施元数据,你的 ISP 仍能看到你连接到自己的服务器,而且这个技术栈不是为应对国家级对手而建的。
  • 管辖区说明: 在欧盟托管会增强数据主权方面的说服力,但它不是一面魔法盾牌。

自托管转移信任,而非消除信任

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Hacker News上有一场长期争论,它表面上没错:"在 VPS 上自托管并不解决隐私,你只是换了一个厂商去信任。"任何设计隐私架构的人都应当正面回应这一点,而不是绕着它走。诚实的回答是,信任的转移是不对称的。它并不等价。

先看自托管减少了什么。你的 SaaS 提供商的商业模式不再是挖掘你的数据,因为这个提供商不存在了。厂商侧的泄露暴露改变了形态:Vaultwarden 的保险库在客户端加密,但像 Nextcloud、Mattermost 和 Rocket.Chat 这样服务器可读的服务,仍然需要妥当的加固、备份和访问控制。

LastPass 的教训不是保险库加密从来不存在。而是被盗的加密保险库备份、未加密的元数据、较旧的 KDF 设置和薄弱的主密码,共同造就了一条离线破解的路径。跨服务的行为画像也会缩小,因为留给一家公司去拼凑的跨服务数据更少了。订阅锁定下降。

现在,看自托管不能消除什么。你的 VPS 提供商的虚拟机监控程序原则上可以读取你虚拟机的内存。你的 VPS 提供商能看到你的基础设施级元数据:你连接到哪些 IP、何时连接、移动了多少数据。

你的 ISP 仍能看到你正连接到自己的服务器。司法管辖的法律请求在 VPS 提供商层面仍然适用,法院命令仍然是法院命令。一台被攻破的 VPS、应用、数据库或管理员账户,仍然可能暴露数据。

信任的算账才是要紧的。比起 Google 或 Meta,VPS 提供商挖掘你数据的商业动机更小,因为月费就是商业模式,而你的数据不是。VPS 提供商掌握你的聚合数据更少,也就是你的那一台服务器,而不是你的搜索历史、位置历史和收件箱合在一起。

在欧盟,提供商在 GDPR 和特定合同条款下运营。这一切并不会让 VPS 在每个维度上都比 Google 更安全。它是一个不同的威胁模型,带着不同的暴露画像,而对于本文所针对的威胁模型,它是一个有意义的改进。

还有一个值得讲清楚的区别。隐私是"他们不知道我在做什么"。匿名是"他们不知道是我在做"。在商业 VPS 上自托管,改善的是你相对于 SaaS 厂商和第三方平台的隐私。

它并不给你相对于 VPS 提供商的匿名。如果你需要匿名,你用的是 Tor,而不是 VPS,而本文余下部分就是错的工具。

本节关键要点: VPS 把你的信任从一个商业模式是把你的数据变现的 SaaS 厂商,转移到一个商业模式是卖给你一台服务器的基础设施提供商。对大多数读者的威胁模型而言,那是一个有意义的改进,但它不是隐身。

五层技术栈速览

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

五层,按这个顺序部署:网络、身份、搜索、文件、通信。每一层应对一个不同的威胁。你可以分阶段部署它们,也可以跳过不适用于你的层。这个模型比一份应用清单更有用,因为它随你的关切而扩展,而不是随服务器上运行的服务数量。

推荐应用取代防护什么不防护什么RAM 下限
网络WireGuard商业 VPNISP 和本地网络观察者,公共 Wi-Fi 攻击者VPS 提供商看到你的出口流量,未配置时的 DNS 泄露低于 100 MB
身份VaultwardenLastPass、1Password(托管版)厂商侧密码泄露,凭据复用薄弱的主密码、没有 2FA、钓鱼、设备被攻破低于 200 MB
搜索SearXNGGoogle Search、Bing搜索查询画像,基于查询的广告定向你实际访问站点上的追踪,浏览器指纹约 250 MB
文件和照片Nextcloud AIO + ImmichGoogle Drive、Google Photos云厂商内容扫描,跨产品数据关联VPS 存储卷(静态加密由你负责),设备侧被攻破4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
通信Mattermost 或 Rocket.ChatSlack、Discord(团队使用)厂商侧消息归档和内容扫描端到端加密(这些默认不是 E2EE)Mattermost:2 GB 下限;Rocket.Chat:4 GB 以上

本节关键要点: 如果你想要最轻量的隐私技术栈,就从 WireGuard、Vaultwarden 和 SearXNG 开始。只有在你为更高的 RAM 占用、存储规划、备份和更多管理工作做好准备后,再加入 Nextcloud、Immich 和团队聊天。

第 1 层:网络层(WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

WireGuard 针对典型单用户设置的配置文件只有十二行。它的握手在一个往返内完成,并使用 Noise 协议框架。其内核模块自 Linux 5.6 起就进入了主线,这意味着你在 2026 年部署的协议,与多年来经过审计且稳定的那个是同一个。这是对的默认选择。

这一层应对什么:那些本来会看到你连接的每一个域名的 ISP 和本地网络观察者、公共 Wi-Fi 攻击者,以及你的家庭 IP 被暴露给你访问的每一个服务。你的流量从你的 VPS 出口,而不是从你的公寓。

它不应对什么:你的 VPS 提供商对你流量出口的视野。他们能看到你的 VPN 端点连接到什么、何时连接、连接了多少。WireGuard 对你的 ISP 隐藏流量。它不对运营出口的那台服务器隐藏流量。

DNS 泄露也是一个独立的问题,且不会被自动处理;你必须把你的 VPN 客户端指向一个你信任的解析器。在同一台 VPS 上运行 Unbound,或通过 DoT 或 DoH 使用一个可信的上游。用 Pi-hole 做完整的 DNS 层广告拦截是另一个话题,对多数用户来说也不适合与 VPN 出口组合在一起(下文详述)。

WireGuard 与替代方案简要对比。OpenVPN 仍然好用。它的握手更大,元数据足迹更大,吞吐更低。对一个新部署来说,除非你特别需要一个 WireGuard 不提供的功能,否则没有理由选它。

Tailscale 是一个不同的工具:它是一个建立在 WireGuard 之上的零配置网状网络,非常擅长把你跨机器的自托管服务拼接到一起。它不是你想要的、面向互联网的隐私出口,因为它的协调平面由 Tailscale 托管。

注意:更改默认的 51820/UDP 端口可以减少低成本的扫描,但它并不会让 WireGuard 看起来像普通的 HTTPS 流量,也不能绕过严肃的过滤。把它当作减少扫描,而不是隐身。

关于部署,我们有一份分步的 Ubuntu WireGuard 安装指南 与本架构相配。

本节关键要点: 在你的 VPS 上运行 WireGuard,给你一个你的 ISP 无法窥探的私有网络出口,但它不对运营该出口的 VPS 提供商隐藏你的流量。

第 2 层:身份层(Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden 运行在不到 200 MB 的 RAM 中。它是 Bitwarden API 的一个 Rust 重新实现,兼容每一个官方 Bitwarden 客户端(浏览器扩展、桌面应用、移动应用),而且它不需要那个重量级的 Bitwarden 服务器参考镜像。对于单个用户或一个家庭,这是合适的规模。

这一层应对什么:厂商侧的密码泄露,比如 LastPass 那种失败,保险库内容泄露并最终被离线解密。一旦你有了一个真正在用的密码管理器,跨服务的凭据复用在机制上就更难了。跨服务的身份画像聚合下降,因为没有第三方看到那份清单。

它不应对什么:你自己的运营安全。一个薄弱的主密码、保险库上没有 2FA,或者一次针对你成功的钓鱼,都会彻底击穿这一层。一台带着已登录浏览器扩展的、被攻破的设备,更是彻底击穿它。Vaultwarden 是一个保险库,不是基本功的替代品。

在这个技术栈里,有一条比其他任何都更重要的运维警告。自托管你的密码管理器,意味着备份由你负责。一台在错误时刻宕机的 VPS,或者一台你不慎抹掉的服务器,会把你锁在这一层所保护的每个账户之外。

XDA Developers 也 直接报道过这一风险,警告说如果访问、备份或恢复规划失败,自托管的密码管理器可能把你锁在重要账户之外。

警告:对 Vaultwarden 的数据目录运行自动化的加密备份。保留一份加密的离线导出,把恢复码单独存放,并在一台备用设备或临时容器上测试恢复。不要依赖单一的 VPS 备份。这不是可选项。这是把保险库从厂商基础设施里取出来的代价。

如果你之后要在多个自托管服务之间集中单点登录,Authentik 是多数人最终采用的开源身份提供方。那是一个进阶层,超出了核心技术栈的范围。

关于部署,我们的 Vaultwarden 自托管指南 是部署的配套。想更深入地了解密码管理器的全貌,请参阅我们的 最佳自托管密码管理器指南。.

本节关键要点: Vaultwarden 把你的密码保险库从易遭泄露的厂商基础设施里挪出来,但它把备份和恢复的负担压在你身上,而那份负担是真实的。

第 3 层:搜索与浏览层(SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

一个 SearXNG 实例接收你的查询,把它扇出到上游引擎(Google、Bing、DuckDuckGo,以及你启用的其他引擎),剥离一些标识性参数,并返回一个统一的结果页。

你的查询到达 Google,但它们是作为来自你 VPS 的查询到达 Google,而不是来自你登录的搜索账户。单用户实例不会形成一个大的匿名池,所以上游引擎仍可能把查询模式与那个 VPS IP 关联起来。

这一层应对什么:搜索查询画像、以你登录的搜索历史为锚的行为广告定向,以及一个搜索账户的长期记忆。"为什么我会看到昨天搜过的东西的广告"这个问题,在搜索账户层面被减弱了。

它不应对什么:你实际点进去的站点对你的追踪。第三方页面上的 Cookie、指纹和追踪器是一个浏览器侧的问题,不是搜索侧的。用一份加固的浏览器配置来应对那一点。

SearXNG 也不会让你相对于上游搜索引擎匿名,如果你的 VPS 只把你的查询发给它;来自一个繁忙实例的聚合流量能把单个用户藏进噪声里,但一个单用户实例仍可能看起来像一个用户的搜索模式。

Whoogle Search 是更轻量的替代方案。它是一个 Google 前端,更简单,只做一件事。SearXNG 聚合多个引擎,如果你离开 Google 的理由并非专门针对 Google,那它更有用。按你实际想要多少个来源来选择。

针对单用户实例的一条运维说明。SearXNG 把查询转发给上游引擎,而 Google 可以对可疑的流量模式做限速。单个用户很少撞上这一点。一个小型公共实例可能会。如果查询开始失败,就减少上游引擎数量、调整 SearXNG 的限速器设置,或者更多依赖那些不那么"敌意"的上游引擎。

本节关键要点: SearXNG 通过你的 VPS 代理你的搜索,并把它们挡在你登录的搜索账户之外。它减少直接的搜索画像,但一个私有的单用户实例不会形成一个大的匿名池。

第 4 层:文件与照片层(Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO 是 Nextcloud 的一体化 Docker 部署,是通向一个可用的文件同步、日历、联系人和文档协作服务器阻力最小的路径。

Immich 是照片方面的对应者:时间线视图、来自 iOS 和 Android 的移动端自动上传、在你自己的服务器或所选 ML 主机上处理的 Google Photos 式人脸识别,以及一个诚实的社区共识,即它是当前在产的最可用的 Google Photos 替代品。

这些不是轻量应用。Nextcloud AIO 应被当作一个 4 GB / 2 vCPU 的基准;Immich 的机器学习、缩略图生成和首次库扫描会把你给它的资源用满。

这一层应对什么:云存储厂商的扫描、照片内容识别,以及那些把一个敏感的个人库留在厂商账户里的云端处理,还有那种把文件、照片、搜索、位置历史和身份信号都放在一家公司账户下的账户级数据集中。

用一台你掌控的服务器来替代它,会打破那种集中。

它不应对什么:那些字节仍然存放在一个由你 VPS 提供商运营的存储卷上。静态加密是你的责任,默认不是他们的。设备侧被攻破是一个独立的问题;如果你的手机被 root 了,那么不论服务器在哪里,手机上的 Nextcloud 客户端都处于暴露之中。

如果你唯一的需求是"让这些文件夹在我的设备之间保持同步",Syncthing 是更简单的工具。它是点对点的,中间没有服务器,并把那一件事做得很好。它不是 Nextcloud 所提供的日历、联系人和协作功能的替代品;它是文件同步那一子集的替代品。

具体到 Immich,有一条实用的规格规则要紧。Nextcloud AIO 应被当作一个 4 GB / 2 vCPU 的基准。一旦机器学习、缩略图和首次库扫描登场,Immich 就不是一个轻量的照片附属品了。对于 Immich 占大头的部署,规划大约 6 至 8 GB RAM,尤其是在迁移期间。

关于部署,我们有一篇 Nextcloud 与 ownCloud 对比 供仍在两者之间抉择的用户参考,还有一篇更宽泛的 带 Web UI 的自托管云平台 综述,如果你在通览这个领域。

本节关键要点: Nextcloud 和 Immich 能把文件和照片从 Google 式的云账户里挪出来,但它们是这个技术栈里第一层需要认真的 RAM、存储、备份规划和迁移耐心的。

第 5 层:通信层(Mattermost 或 Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Slack 工作区可被 Slack 搜索。Discord 为违反服务条款而扫描内容。Microsoft Teams 在你租户的策略下保留聊天记录,而那些策略是你的 IT 部门能看到的。

对于不该存放在以上任何地方的团队或家庭聊天,一个自托管的 Mattermost 或 Rocket.Chat 是标准答案。这一层是关于把团队归档挡在 SaaS 之外,而不是关于私密的端到端聊天。

这一层应对什么:厂商侧的消息归档、厂商侧的内容扫描,以及当厂商判定你的账户有问题时所发生的访问丧失。你的团队消息历史存放在你的服务器上。

它不应对什么,而这一点要紧:端到端加密。Mattermost 和 Rocket.Chat 默认不是 E2EE。服务器管理员可以读取消息。服务器管理员现在是你,这比它是某个 SaaS 厂商的员工要好,但这个原则对你团队的威胁模型仍然要紧。

对于一对一的安全消息,Signal 是对的答案,而不是一个自托管服务器。如果通信层必须默认 E2EE,就去看 Matrix/Element,或者改用 Signal 做私人聊天。自托管在没有厂商的情况下解决团队消息;它不替代 Signal 应对个人威胁模型。

Mattermost 对比 Rocket.Chat。两者都有效。Mattermost 更紧凑、更偏企业形态,默认开启的可选功能更少。Rocket.Chat 更宽泛,集成更多频道类型,插件生态更大。对于一个小团队或家庭聊天这种典型的隐私栈用例,任一款都没问题。

2026 年注意事项: 在部署 Mattermost 之前,先核对确切的免费版本。Mattermost Entry 有 10,000 条消息的历史上限,而 Team Edition 避开了那个上限,但有它自己的限制。对于 Rocket.Chat,预算要超过一台小小的 1 GB VPS,因为 MongoDB、上传和集成会增加开销。

本节关键要点: 一个自托管的 Mattermost 或 Rocket.Chat 能把你团队的聊天归档从一个 SaaS 厂商手里移走,但如果你需要两个人之间真正的端到端加密,Signal 仍然是对的工具。

什么不该自托管(以及为什么)

有些看起来像该放进隐私技术栈的东西,其实不该。把它们列出来,是搭建一个值得信任的技术栈的一部分。

电子邮件。 如果你还不是一个特意想这么做的、有经验的 Linux 运维者,就别自托管电子邮件。PrivacyGuides 在这件事上有一个清晰且广为人知的立场,而它是对的:只有进阶用户才应运行自己的邮件服务器。原因不是技术上的好奇。SPF、DKIM 和 DMARC 必须配置好并保持正确。

IP 声誉必须挣得并维护。垃圾邮件过滤是一种永久的状态。与 Gmail 的可达性之战不是一个安装步骤;它是一种持续的状况。对其他所有人来说,一个托管的、尊重隐私的提供商,对这一层来说才是真正对的答案。

Proton Mail、Tuta(前身为 Tutanota)和 Mailbox.org 都是不错的选择。这是本文的一条硬性规则:不要为一般受众的隐私去自托管电子邮件。

把 Pi-hole 作为你家庭网络的主 DNS 解析器,放在 VPS 上。 Pi-hole 很棒。但把它作为你全家上网的递归解析器放在 VPS 上,是一个单点故障,当 VPS 打个嗝时,会让家里所有人的网络都断掉。Pi-hole 该放在家里的一台 Raspberry Pi 上。它不是这个技术栈的一部分。

联邦式社交媒体。 Mastodon、Pleroma 之类很有意思,也与此相邻。主要的约束是采用度,而不是隐私。对某些人它们是对的答案,但对一个聚焦于把你自己的数据从大科技服务器上挪走的隐私技术栈来说,它们不是核心。

匿名工具。 Tor、I2P、混合网。不同的威胁模型,不同的文章。如果你需要它们,你自己已经知道了。

小结: Proton Mail 或同类,是某一个特定层的托管替代品,承认这一点是一个值得使用的技术栈的一部分。自托管在那些提供商无法覆盖完整工作流的地方帮得上忙:照片、搜索、自定义分析和团队聊天。对于一般受众的隐私,电子邮件是这个技术栈唯一应当外包的层。

本节关键要点: 大多数用户不该自托管电子邮件。像 Proton Mail 这样尊重隐私的托管提供商,对那一个层来说才是真正更好的答案,承认这一点是搭建一个可信技术栈的一部分。

在哪里运行它:VPS 规格与管辖区

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

规格问题并不抽象。这个技术栈有三种实际形态:轻量隐私核心、文件层,以及把 Immich 机器学习卷入的照片密集版本。从一种跳到下一种不是表面功夫。文件、缩略图、人脸识别和首次库迁移,正是把一台小 VPS 变成一份正经服务器预算的东西。

部署形态包含的应用现实的 VPS 下限
最小可行技术栈WireGuard、Vaultwarden、SearXNG2 GB RAM / 1 vCPU
Nextcloud 基准WireGuard、Vaultwarden、SearXNG、Nextcloud AIO4 GB RAM / 2 vCPU
文件和照片技术栈WireGuard、Vaultwarden、SearXNG、Nextcloud AIO、Immich8 GB RAM / 4 vCPU
存储与备份说明主要是 Nextcloud 和 ImmichNVMe 存储 + 服务器外备份

这样读这张表:

  • 最小技术栈 覆盖回报最高的三层:网络、身份和搜索。
  • Nextcloud 基准 需要更多余量,因为 PHP、数据库工作、文件索引、同步任务和 Web UI 全都一起运行。
  • 文件和照片技术栈 需要更大的预算,因为 Immich 机器学习、缩略图、人脸识别,以及首次照片库扫描,在迁移期间会把服务器压得很重。
  • 存储 之所以要紧,是因为算力只是计划的一半。文件和照片需要增长的空间、远离 VPS 的备份,以及一条即便服务器没了仍然管用的恢复路径。

然后是管辖区。2025 年 6 月, Microsoft 向法国议会作证 称,它无法保证欧盟托管的数据免于美国法律的访问。那次作证把数据主权的争论从理论搬进了主流政策讨论。

对于优先考虑数据主权的用户,公司管辖区、数据中心位置、合同、加密模型和备份位置都要紧。

If CLOUD Act 的暴露是这份关切的一部分,别把一个欧盟数据中心本身当作完整答案。一个非美国总部、在欧洲设有区域的提供商,比一个美国总部超大规模厂商的欧盟区域更合适,但那仍不会让数据在法律上变得不可触及。

注意事项: 管辖区是摩擦,不是无懈可击。一道德国法院命令仍然是一道法院命令。荷兰的也是。瑞士的法律请求也是。欧洲托管能减少一些相对于美国总部云提供商的直接暴露,并加入本地的法律程序,但它不会让数据在法律上变得不可触及。

对大多数读者的威胁模型来说,这份额外的摩擦是有用的。它不是一面魔法盾牌。

本节关键要点: 轻量技术栈可以跑在一台小 VPS 上,但文件和照片会改变预算。把 4 GB / 2 vCPU 当作仅 Nextcloud 的基准,对一个照片密集的 Immich 部署则规划到接近 8 GB / 4 vCPU。Cloudzy Marketplace 降低了核心应用的安装工作量,而管辖区增加的是法律摩擦,不是隐身。

如何部署这个技术栈而不把安装变成整个项目

你可以手动搭建每一层。如果安装工作本身就是乐趣所在,那没问题。对大多数读者来说,并不是。这个技术栈的意义是摆脱大科技的数据引力,而不是在第一个应用都还没跑起来之前,就花一周去调试 Docker、端口、DNS 和服务文件。

阻力更小的路径,是从一个可用的 VPS 镜像起步,再从那里加固。 Cloudzy Marketplace 包含面向 WireGuard、Vaultwarden、SearXNG、Nextcloud AIO 和其他自托管工具的一键 VPS 镜像,所以基础部署不是吃掉周末的那部分。

仍然要紧的工作,是没有任何市场能替你做的工作:DNS、防火墙规则、备份、访问控制、更新和恢复测试。

底层的服务器同样要紧。这个技术栈是存储、网络、区域选择和余量,而不只是一张表里的应用名字。Cloudzy 给你 NVMe 支撑的 VPS 基础设施、完整的 root 访问、13 个区域、40 Gbps 网络、99.95% 的正常运行时间,以及一个 14 天的退款期。

为 WireGuard、Vaultwarden 和 SearXNG 从小起步。为 Nextcloud 往上挪一挪。一旦机器学习、缩略图和照片迁移登场,就为 Immich 更认真地规划。

如何开始

五层,每一层应对一个特定的威胁。它们没有一个声称能让你隐身。它们全都减少你当前默认接受的、特定的商业数据暴露。

挑出那一个应对你当前最具体痛点的层。如果你曾经打开过一封泄露通知邮件,那就是身份层。如果你注意到广告在你从未访问过的站点之间追着你跑,那就是搜索层。把那一层部署起来。架构会扩展。开始的决定不必如此。

任何单独一层的安装最多花一个周末。配置文件很短。它没有理由比这更复杂。

常见问题

在 VPS 上自托管真的能保护我的隐私吗,还是我只是在信任另一个厂商?

对于这个威胁模型,是的。它把信任从把用户数据变现的 SaaS 厂商,转移到一个卖基础设施的 VPS 提供商。那减少了商业暴露和跨服务画像,但它不会隐藏 VPS 元数据、ISP 连接记录、被攻破的设备,或国家级监控。

我该从最小的自托管隐私技术栈中的哪些开始?

从 WireGuard、Vaultwarden 和 SearXNG 开始。它们在一台 2 GB RAM 的 VPS 上覆盖网络可见性、密码厂商泄露风险,以及登录状态下的搜索画像。之后再加 Nextcloud;只有在你有了更多 RAM、存储和备份纪律之后,再加 Immich。

在法兰克福或阿姆斯特丹托管,真的比在美国更利于隐私吗?

欧洲区域能减少一些相对于美国总部提供商的直接暴露,但它们不会让数据在法律上变得不可触及。公司管辖区、数据中心位置、合同、加密和备份位置都要紧。德国、荷兰或瑞士的法律请求仍然可能适用。

我该为隐私自托管我的电子邮件吗?

对几乎所有人来说,不该。电子邮件自托管需要 SPF、DKIM、DMARC、IP 声誉、垃圾邮件过滤,以及持续不断的可达性工作。请使用一个托管的隐私提供商,比如 Proton Mail、Tuta 或 Mailbox.org。PrivacyGuides 只建议进阶用户自托管电子邮件。

WireGuard 究竟保护我免于什么?

WireGuard 把流量经由你的 VPS 路由,限制你的 ISP 和本地网络能看到什么。它不会对 VPS 提供商隐藏出口流量。他们仍能看到连接元数据、目标 IP、时间和流量。它是相对于你 ISP 的隐私,不是隐身。

分享

博客更多内容

继续阅读。

准备好部署了吗? 起价 $2.48/月。

独立云厂商,自 2008 年起。AMD EPYC、NVMe、40 Gbps。14 天退款保证。