Přejít na hlavní obsah
Sleva 50% všechny plány, omezený čas. Od $2.48/mo
21 min left
Zabezpečení a sítě

Nejlepší pětivrstvý self-hosted privacy stack

J Autor: Jonas 21 min čtení
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

V březnu 2025 Krebs on Security informoval že federální vyšetřovatelé USA spojili krádež kryptoměn za 150 milionů dolarů přímo s únikem dat LastPass z roku 2022. Mechanismus byl jednoduchý: někteří zákazníci ukládali seed fráze do LastPass Secure Notes, útočníci získali šifrované zálohy trezorů a slabé nebo starší ochrany trezorů umožnily část obsahu trezorů prolomit offline.

Ponaučení není, že LastPass byl jedinečně nedbalý. Ponaučení je, že každý únik, o kterém čtete, jsou data někoho jiného zpeněžovaná, zatímco omluvný e-mail leží ve vaší schránce. Self-hosting mění to, kdo to může vašim datům udělat. Nemění fakt, že někdo vždy může.

Tento příspěvek je pro čtenáře, jejichž model hrozeb je komerční vystavení dat, čímž se rozumí zpeněžování ze strany Big Tech a úniky u dodavatelů, ne sledování na úrovni státu, vysoce rizikový žurnalismus, aktivismus nebo právní discovery. Architektura níže je pětivrstvý stack pro tento konkrétní model hrozeb.

Zkrácená verze

Tento stack má pět vrstev. Každá vrstva odstraňuje jednu běžnou závislost na Big Tech, ale žádná z nich vás neučiní neviditelnými.

  • Síť: WireGuard nahrazuje komerční VPN a omezuje viditelnost pro ISP nebo lokální síť.
  • Identita: Vaultwarden nahrazuje hostované správce hesel a snižuje vystavení únikům na straně dodavatele.
  • Vyhledávání: SearXNG snižuje profilování vyhledávání tím, že proxuje vyhledávání přes váš VPS a drží je mimo váš přihlášený vyhledávací účet.
  • Soubory a fotky: Nextcloud AIO a Immich nahrazují Google Drive a Google Photos, čímž omezují skenování obsahu v cloudu a propojování dat napříč produkty.
  • Týmová komunikace: Mattermost nebo Rocket.Chat přesouvají historii týmového chatu mimo Slack, Discord nebo Teams.
  • Hlavní limity: Váš poskytovatel VPS stále vidí metadata infrastruktury, váš ISP stále vidí, že se připojujete ke svému serveru, a tento stack není stavěn pro protivníky na úrovni státu.
  • Poznámka k jurisdikci: Hosting v EU posiluje argument datové suverenity, ale není to kouzelný štít.

Self-hosting posouvá důvěru, neodstraňuje ji

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Existuje dlouhodobý argument na Hacker News, a na první pohled je správný: "self-hosting na VPS neřeší soukromí, jen důvěřujete jinému dodavateli." Každý, kdo navrhuje architekturu soukromí, by se s tím měl vypořádat přímo, ne kolem toho. Poctivá odpověď je, že posun důvěry je asymetrický. Není rovnocenný.

Začněte tím, co self-hosting snižuje. Obchodní model vašeho SaaS poskytovatele už není těžit z vašich dat, protože poskytovatel je pryč. Vystavení únikům na straně dodavatele mění tvar: trezor Vaultwarden je šifrovaný na straně klienta, ale serverem čitelné služby jako Nextcloud, Mattermost a Rocket.Chat stále potřebují řádné zabezpečení, zálohy a řízení přístupu.

Ponaučení z LastPass nebylo, že šifrování trezoru nikdy neexistovalo. Bylo to, že ukradené šifrované zálohy trezorů, nešifrovaná metadata, starší nastavení KDF a slabá hlavní hesla vytvořila cestu k offline prolomení. Behaviorální profilování napříč službami se také zmenšuje, protože je méně dat napříč službami, která by jedna společnost mohla sestavit. Zámek předplatného klesá.

A teď, co self-hosting neodstraňuje. Hypervizor vašeho poskytovatele VPS může v principu číst paměť vašeho VM. Váš poskytovatel VPS vidí metadata na úrovni infrastruktury: ke kterým IP se připojujete, kdy a kolik dat se přesouvá.

Váš ISP stále vidí, že se připojujete ke svému serveru. Jurisdikční právní žádosti stále platí na úrovni poskytovatele VPS a soudní příkaz je stále soudní příkaz. Kompromitovaný VPS, aplikace, databáze nebo administrátorský účet mohou stále data vystavit.

Důležitá je matematika důvěry. Poskytovatel VPS má menší komerční motivaci těžit z vašich dat než Google nebo Meta, protože měsíční poplatek je obchodní model, a vaše data nikoli. Poskytovatel VPS má o vás méně agregovaných dat, totiž váš jeden server, ne vaši historii vyhledávání, historii polohy a schránku dohromady.

V EU poskytovatel funguje pod GDPR a konkrétními smluvními podmínkami. Nic z toho nečiní VPS bezpečnějším než Google v každém rozměru. Je to jiný model hrozeb s jiným profilem vystavení a pro model hrozeb, kterým se tento příspěvek zabývá, je to smysluplné zlepšení.

Je tu ještě jedno rozlišení, ve kterém stojí za to být přesný. Soukromí je "nevědí, co dělám". Anonymita je "nevědí, že to dělám já". Self-hosting na komerčním VPS zlepšuje soukromí před SaaS dodavateli a platformami třetích stran.

Nedává vám anonymitu před vaším poskytovatelem VPS. Pokud potřebujete anonymitu, používáte Tor, ne VPS, a zbytek tohoto příspěvku je špatný nástroj.

Klíčové ponaučení sekce: VPS přesouvá vaši důvěru od SaaS dodavatele, jehož obchodním modelem je zpeněžování vašich dat, k poskytovateli infrastruktury, jehož obchodním modelem je prodat vám server. Pro model hrozeb většiny čtenářů je to smysluplné zlepšení, ale není to neviditelnost.

Pětivrstvý stack v kostce

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Pět vrstev, nasazených v tomto pořadí: síť, identita, vyhledávání, soubory, komunikace. Každá řeší odlišnou hrozbu. Můžete je nasadit po fázích a můžete přeskočit vrstvy, které se vás netýkají. Tento model je užitečnější než seznam aplikací, protože se škáluje s vašimi obavami, ne s počtem služeb běžících na vašem serveru.

VrstvaDoporučená aplikaceNahrazujeChrání předNECHRÁNÍ předMinimum RAM
SíťWireGuardKomerční VPNISP a pozorovateli v lokální síti, útočníky na veřejné Wi-FiTím, že poskytovatel VPS vidí váš odchozí provoz, úniky DNS, pokud nejsou nakonfigurovanéPod 100 MB
IdentitaVaultwardenLastPass, 1Password (hostovaný)Únikům hesel na straně dodavatele, opakovaným použitím přihlašovacích údajůSlabým hlavním heslem, žádným 2FA, phishingem, kompromitací zařízeníPod 200 MB
VyhledáváníSearXNGGoogle Search, BingProfilování vyhledávacích dotazů, cílení reklam na základě dotazůSledováním na stránkách, které skutečně navštívíte, otiskem prohlížeče~250 MB
Soubory a fotkyNextcloud AIO + ImmichGoogle Drive, Google PhotosSkenováním obsahu cloudovým dodavatelem, propojováním dat napříč produktyÚložnými svazky VPS (šifrování v klidu je na vás), kompromitací na straně zařízení4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
KomunikaceMattermost nebo Rocket.ChatSlack, Discord (týmové použití)Archivací zpráv a skenováním obsahu na straně dodavateleEnd-to-end šifrováním (tyto nejsou ve výchozím nastavení E2EE)Mattermost: minimum 2 GB; Rocket.Chat: 4 GB+

Klíčové ponaučení sekce: Začněte s WireGuard, Vaultwarden a SearXNG, pokud chcete nejlehčí privacy stack. Nextcloud, Immich a týmový chat přidejte až poté, co budete připraveni na vyšší využití RAM, plánování úložiště, zálohy a více administrace.

Vrstva 1: Síťová vrstva (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

Konfigurační soubor WireGuard pro typický setup jednoho uživatele má dvanáct řádků. Jeho handshake se dokončí v jednom round tripu a používá framework protokolu Noise. Kernelový modul je v mainline Linuxu od verze 5.6, což znamená, že protokol, který nasadíte v roce 2026, je tentýž, který je auditovaný a stabilní už roky. Tohle je správné výchozí nastavení.

Co tato vrstva řeší: ISP a pozorovatele v lokální síti, kteří by jinak viděli každou doménu, ke které se připojujete, útočníky na veřejné Wi-Fi a vaši domácí IP vystavenou každé službě, kterou navštívíte. Váš provoz odchází z vašeho VPS místo z vašeho bytu.

Co neřeší: pohled vašeho poskytovatele VPS na váš odchozí provoz. Vidí, k čemu se váš VPN endpoint připojuje, kdy a kolik. WireGuard skrývá provoz před vaším ISP. Neskrývá provoz před serverem, který odchozí provoz obsluhuje.

Úniky DNS jsou také samostatný problém a nejsou řešeny automaticky; musíte své VPN klienty namířit na resolver, kterému důvěřujete. Spusťte Unbound na stejném VPS, nebo použijte důvěryhodný upstream přes DoT nebo DoH. Plné blokování reklam na úrovni DNS s Pi-hole je samostatné téma a pro většinu uživatelů to není to pravé ke kombinaci s VPN odchozím provozem (více o tom níže).

WireGuard versus alternativy, stručně. OpenVPN stále funguje. Handshake je větší, otisk metadat je větší a propustnost je nižší. Není důvod jej volit pro nové nasazení, pokud konkrétně nepotřebujete funkci, kterou WireGuard nenabízí.

Tailscale je jiný nástroj: je to mesh bez konfigurace postavený na WireGuard a je vynikající pro sešívání vašich vlastních self-hosted služeb napříč stroji. Není to to, co chcete jako odchozí privacy bránu do internetu, protože koordinační rovinu hostuje Tailscale.

Poznámka: Změna výchozího portu 51820/UDP může snížit nenáročné skeny, ale neučiní WireGuard podobným běžnému HTTPS provozu ani neobejde seriózní filtrování. Berte to jako snížení skenů, ne jako utajení.

Pro nasazení máme podrobný průvodce nastavením WireGuard pro Ubuntu který se k této architektuře hodí.

Klíčové ponaučení sekce: WireGuard na vašem VPS vám dává soukromý síťový odchozí bod, který váš ISP nemůže prohlížet, ale neskrývá váš provoz před poskytovatelem VPS, který odchozí provoz obsluhuje.

Vrstva 2: Vrstva identity (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden běží na méně než 200 MB RAM. Je to reimplementace API Bitwardenu v Rustu, kompatibilní s každým oficiálním klientem Bitwarden (rozšíření prohlížeče, desktopové aplikace, mobilní aplikace), a nevyžaduje těžkopádný referenční image serveru Bitwarden. Pro jednoho uživatele nebo domácnost je to správná velikost.

Co tato vrstva řeší: úniky hesel na straně dodavatele, jako selhání ve stylu LastPass, kde obsah trezoru unikl a byl nakonec offline dešifrován. Opakované použití přihlašovacích údajů napříč službami se mechanicky ztíží, jakmile máte správce hesel, který skutečně používáte. Agregace profilu identity napříč službami klesá, protože žádná třetí strana ten seznam nevidí.

Co neřeší: vaši vlastní OpSec. Slabé hlavní heslo, žádné 2FA na trezoru nebo úspěšný phishingový útok na vás tuto vrstvu zcela porazí. Kompromitované zařízení s přihlášeným rozšířením prohlížeče ji porazí ještě úplněji. Vaultwarden je trezor, ne náhrada za základy.

Je tu jedno provozní varování, na kterém záleží více než na jakémkoli jiném v tomto stacku. Self-hosting vašeho správce hesel znamená, že jste zodpovědní za zálohy. VPS, který selže v nesprávný okamžik, nebo server, který nedopatřením smažete, vás vyzamkne z každého účtu, který tato vrstva chrání.

XDA Developers také toto riziko přímo pokryl, varuje, že self-hosted správce hesel vás může vyzamknout z důležitých účtů, pokud selže přístup, zálohy nebo plánování obnovy.

Varování: Spouštějte automatizované šifrované zálohy datového adresáře Vaultwarden. Mějte šifrovaný offline export, ukládejte záchranné kódy odděleně a otestujte obnovu na náhradním zařízení nebo dočasném kontejneru. Nespoléhejte na jedinou zálohu VPS. Tohle není volitelné. To je cena za vyjmutí trezoru z infrastruktury dodavatele.

Pokud později centralizujete single sign-on napříč více self-hosted službami, Authentik je open-source poskytovatel identity, u kterého většina lidí skončí. To je pokročilá vrstva a mimo rozsah základního stacku.

Pro nasazení je náš průvodce self-hostingem Vaultwarden společníkem pro nasazení. Pro hlubší pohled na krajinu správců hesel viz náš průvodce nejlepšími self-hosted správci hesel.

Klíčové ponaučení sekce: Vaultwarden přesouvá váš trezor hesel z infrastruktury dodavatele náchylné k únikům, ale zátěž zálohování a obnovy přenáší na vás, a tato zátěž je skutečná.

Vrstva 3: Vrstva vyhledávání a prohlížení (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Instance SearXNG přijme váš dotaz, rozešle jej do upstream enginů (Google, Bing, DuckDuckGo, další, které povolíte), odstraní některé identifikující parametry a vrátí jednotnou stránku s výsledky.

Vaše dotazy se dostanou ke Googlu, ale dostanou se ke Googlu jako dotazy z vašeho VPS, ne z vašeho přihlášeného vyhledávacího účtu. Instance pro jednoho uživatele nevytváří velký anonymitní fond, takže upstream enginy mohou stále spojovat vzorce dotazů s tou IP VPS.

Co tato vrstva řeší: profilování vyhledávacích dotazů, behaviorální cílení reklam podle vaší přihlášené historie vyhledávání a dlouhou paměť vyhledávacího účtu. Problém "proč vidím reklamy na věc, kterou jsem hledal včera" se na úrovni vyhledávacího účtu zmenšuje.

Co neřeší: sledování stránkami, na které skutečně prokliknete. Cookies, otisky a trackery na stránkách třetích stran jsou problém na straně prohlížeče, ne na straně vyhledávání. K jeho řešení použijte zpevněnou konfiguraci prohlížeče.

SearXNG vás také neanonymizuje před upstream vyhledávačem, pokud váš VPS odesílá pouze vaše dotazy; agregovaný provoz z rušné instance skryje jednotlivé uživatele v šumu, ale instance pro jednoho uživatele může stále vypadat jako vyhledávací vzorec jednoho uživatele.

Whoogle Search je lehčí alternativa. Je to front-end pro Google, jednodušší, a dělá jednu věc. SearXNG agreguje více enginů, což je užitečnější, pokud vaším důvodem k odchodu od Googlu nebyl konkrétně Google. Vybírejte podle toho, kolik zdrojů skutečně chcete.

Jedna provozní poznámka pro instance s jedním uživatelem. SearXNG přeposílá dotazy upstream enginům a Google může omezovat rychlost u podezřelých vzorců provozu. Jeden uživatel na to málokdy narazí. Malá veřejná instance možná ano. Pokud dotazy začnou selhávat, snižte počet upstream enginů, vylaďte nastavení limiteru SearXNG nebo se více opřete o méně nepřátelské upstream enginy.

Klíčové ponaučení sekce: SearXNG proxuje vaše vyhledávání přes váš VPS a drží je mimo váš přihlášený vyhledávací účet. Snižuje přímé profilování vyhledávání, ale soukromá instance s jedním uživatelem nevytváří velký anonymitní fond.

Vrstva 4: Vrstva souborů a fotek (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO je all-in-one Docker nasazení Nextcloudu a je cestou nejmenšího odporu k funkčnímu serveru pro synchronizaci souborů, kalendář, kontakty a spolupráci na dokumentech.

Immich je protějšek pro fotky: zobrazení časové osy, automatické nahrávání z mobilu z iOS a Androidu, rozpoznávání obličejů ve stylu Google Photos zpracovávané na vašem vlastním serveru nebo zvoleném ML hostu a poctivý konsenzus komunity, že je to nejpoužitelnější náhrada Google Photos, která se aktuálně dodává.

Tyto nejsou lehké aplikace. Nextcloud AIO by měl být brán jako základ 4 GB / 2 vCPU; strojové učení Immich, generování náhledů a první sken knihovny využijí, co jim dáte.

Co tato vrstva řeší: skenování dodavatelem cloudového úložiště, rozpoznávání obsahu fotek a zpracování na straně cloudu, které drží citlivou osobní knihovnu uvnitř účtu dodavatele, a centralizaci dat na úrovni účtu, která drží soubory, fotky, vyhledávání, historii polohy a signály identity pod jedním účtem společnosti.

Nahrazení tohoto serverem, který ovládáte, tuto centralizaci rozbíjí.

Co neřeší: bajty stále žijí na úložném svazku, který provozuje váš poskytovatel VPS. Šifrování v klidu je vaše zodpovědnost, ne jejich ve výchozím nastavení. Kompromitace na straně zařízení je samostatný problém; pokud je váš telefon rootnutý, klient Nextcloud na něm je vystavený bez ohledu na to, kde server žije.

Pokud je vaší jedinou potřebou "udržet tyto složky synchronizované mezi mými zařízeními", Syncthing je jednodušší nástroj. Je peer-to-peer, nemá uprostřed žádný server a tuto jednu úlohu dělá dobře. Není to náhrada za funkce kalendáře, kontaktů a spolupráce, které Nextcloud poskytuje; je to náhrada za podmnožinu synchronizace souborů.

Pro Immich konkrétně platí jedno praktické pravidlo dimenzování. Nextcloud AIO by měl být brán jako základ 4 GB / 2 vCPU. Immich není lehký fotosidecar, jakmile do hry vstoupí strojové učení, náhledy a první sken knihovny. Plánujte kolem 6-8 GB RAM pro setupy náročné na Immich, zejména během migrace.

Pro nasazení máme srovnání Nextcloud vs ownCloud pro uživatele, kteří se mezi nimi stále rozhodují, a širší přehled self-hosted cloudových platforem s webovým UI pokud mapujete tento prostor.

Klíčové ponaučení sekce: Nextcloud a Immich mohou přesunout soubory a fotky z cloudových účtů ve stylu Google, ale jsou první vrstvou v tomto stacku, která potřebuje seriózní RAM, úložiště, plánování záloh a trpělivost s migrací.

Vrstva 5: Komunikační vrstva (Mattermost nebo Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Slack workspaces jsou prohledávatelné Slackem. Discord skenuje obsah kvůli porušování ToS. Microsoft Teams uchovává záznamy chatu podle politik vašeho tenantu, což jsou politiky, které vaše IT organizace vidí.

Pro týmový nebo rodinný chat, který by neměl žít na žádném z těchto míst, je standardní odpovědí self-hosted Mattermost nebo Rocket.Chat. Tato vrstva je o udržení týmových archivů mimo SaaS, ne o soukromém end-to-end chatu.

Co tato vrstva řeší: archivaci zpráv na straně dodavatele, skenování obsahu na straně dodavatele a ztrátu přístupu, ke které dojde, když dodavatel rozhodne, že váš účet je problém. Historie zpráv vašeho týmu sedí na vašem serveru.

Co neřeší, a na tom záleží: end-to-end šifrování. Mattermost a Rocket.Chat nejsou ve výchozím nastavení E2EE. Administrátor serveru může číst zprávy. Administrátorem serveru jste nyní vy, což je lepší než zaměstnanci SaaS dodavatele, ale princip stále záleží pro model hrozeb vašeho týmu.

Pro zabezpečené zprávy jeden na jednoho je správnou odpovědí Signal, ne self-hosted server. Pokud komunikační vrstva musí být ve výchozím nastavení E2EE, podívejte se na Matrix/Element nebo místo toho použijte Signal pro osobní chaty. Self-hosting řeší týmové zprávy bez dodavatele; nenahrazuje Signal pro osobní modely hrozeb.

Mattermost versus Rocket.Chat. Oba jsou platné. Mattermost je sevřenější, více enterprise formy a má ve výchozím nastavení zapnuto méně volitelných funkcí. Rocket.Chat je širší, integruje více typů kanálů a má větší ekosystém pluginů. Kterýkoli je vhodný pro typický případ použití privacy stacku malého týmu nebo rodinného chatu.

Výhrada pro rok 2026: Před nasazením Mattermost zkontrolujte přesnou bezplatnou edici. Mattermost Entry má limit historie 10 000 zpráv, zatímco Team Edition se tomuto limitu vyhýbá, ale má své vlastní limity. Pro Rocket.Chat počítejte s víc než drobným 1GB VPS, protože MongoDB, nahrávání a integrace přidávají režii.

Klíčové ponaučení sekce: Self-hosted Mattermost nebo Rocket.Chat odstraní chatovací archiv vašeho týmu od SaaS dodavatele, ale pokud potřebujete skutečné end-to-end šifrování mezi dvěma lidmi, Signal je stále správný nástroj.

Co NEhostovat sám (a proč)

Některé věci, které vypadají, že patří do privacy stacku, tam nepatří. Jejich výčet je součástí budování stacku, kterému stojí za to věřit.

E-mail. Nehostujte e-mail sami, pokud nejste už zkušený operátor Linuxu, který to konkrétně chce. PrivacyGuides má v tomto jasný a dobře známý postoj, a je správný: vlastní mailový server by měli provozovat jen pokročilí uživatelé. Důvody nejsou technická zvědavost. SPF, DKIM a DMARC musí být nakonfigurovány a udržovány správně.

Reputace IP musí být získána a udržována. Filtrování spamu je trvalý stav věcí. Boj o doručitelnost s Gmailem není krok nastavení; je to průběžná podmínka. Pro všechny ostatní je spravovaný poskytovatel respektující soukromí opravdu správnou odpovědí pro tuto vrstvu.

Proton Mail, Tuta (dříve Tutanota) a Mailbox.org jsou všechno dobré volby. Tohle je tvrdé pravidlo tohoto příspěvku: nehostujte e-mail sami pro soukromí pro běžné publikum.

Pi-hole jako primární DNS resolver vaší domácí sítě, na VPS. Pi-hole je skvělý. Umístit jej na VPS jako rekurzivní resolver pro celý internet vaší domácnosti je jediný bod selhání, který rozbije internet všem v domě, když VPS škytne. Pi-hole patří na Raspberry Pi doma. Není součástí tohoto stacku.

Federovaná sociální média. Mastodon, Pleroma a ostatní jsou zajímavé a příbuzné. Hlavním omezením je adopce, ne soukromí. Jsou správnou odpovědí pro některé lidi, ale ne jádrem privacy stacku zaměřeného na dostání vlastních dat ze serverů Big Tech.

Nástroje pro anonymitu. Tor, I2P, mixnety. Jiný model hrozeb, jiný příspěvek. Pokud je potřebujete, už to víte.

Shrnutí: Proton Mail nebo jemu rovný je spravovanou alternativou pro jednu konkrétní vrstvu, a uznat to je součástí stacku, který stojí za používání. Self-hosting pomáhá tam, kde tito poskytovatelé nepokrývají celý pracovní postup: fotky, vyhledávání, vlastní analytika a týmový chat. Pro soukromí pro běžné publikum je e-mail tou jednou vrstvou, kterou by tento stack měl outsourcovat.

Klíčové ponaučení sekce: Většina uživatelů by neměla hostovat e-mail sama. Spravovaný poskytovatel respektující soukromí jako Proton Mail je pro tu jednu vrstvu opravdu lepší odpovědí, a uznat to je součástí budování důvěryhodného stacku.

Kde to provozovat: Dimenzování VPS a jurisdikce

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

Otázka dimenzování není abstraktní. Tento stack má tři praktické podoby: lehké privacy jádro, vrstvu souborů a verzi náročnou na fotky, která do hry přidává strojové učení Immich. Skok z jedné na další není kosmetický. Soubory, náhledy, rozpoznávání obličejů a migrace první knihovny jsou to, co promění malý VPS v pořádný serverový rozpočet.

Podoba nasazeníZahrnuté aplikaceRealistické minimum VPS
Minimální životaschopný stackWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Nextcloud základWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Stack souborů a fotekWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Poznámka k úložišti a zálohámPřevážně Nextcloud a ImmichNVMe úložiště + zálohy mimo server

Čtěte tabulku takto:

  • Minimální stack pokrývá tři vrstvy s nejvyšší návratností: síť, identita a vyhledávání.
  • Nextcloud základ potřebuje více prostoru, protože PHP, práce s databází, indexování souborů, synchronizační úlohy a webové UI běží všechny dohromady.
  • Stack souborů a fotek potřebuje větší rozpočet, protože strojové učení Immich, náhledy, rozpoznávání obličejů a první sken fotoknihovny mohou server během migrace tvrdě zatížit.
  • Úložiště záleží, protože výpočetní výkon je jen polovina plánu. Soubory a fotky potřebují prostor pro růst, zálohy mimo VPS a cestu obnovy, která stále funguje, pokud je server pryč.

Pak je tu jurisdikce. V červnu 2025 Microsoft vypovídal před francouzským parlamentem že nemůže zaručit, že data hostovaná v EU budou chráněna před právním přístupem USA. Tato výpověď posunula argument datové suverenity z teorie do hlavního proudu politické debaty.

Pro uživatele upřednostňující datovou suverenitu záleží na jurisdikci společnosti, umístění datacentra, smlouvách, modelu šifrování a umístění záloh.

If CLOUD Act vystavení je součástí obavy, neberte samotné EU datacentrum jako celou odpověď. Poskytovatel se sídlem mimo USA s evropským regionem je čistším řešením než EU region hyperscalera se sídlem v USA, ale to stále nečiní data právně nedotknutelnými.

Výhrada: Jurisdikce je tření, ne nedobytnost. Německý soudní příkaz je stále soudní příkaz. Nizozemský také. Stejně tak švýcarská právní žádost. Evropský hosting může snížit některé přímé vystavení vůči cloudovým poskytovatelům se sídlem v USA a přidat místní právní proces, ale nečiní data právně nedotknutelnými.

Pro model hrozeb většiny čtenářů je přidané tření užitečné. Není to kouzelný štít.

Klíčové ponaučení sekce: Lehký stack může běžet na malém VPS, ale soubory a fotky mění rozpočet. Použijte 4 GB / 2 vCPU jako základ pouze pro Nextcloud a plánujte blíže 8 GB / 4 vCPU pro setup náročný na fotky s Immich. Cloudzy Marketplace snižuje úsilí na nastavení základních aplikací, zatímco jurisdikce přidává právní tření, ne neviditelnost.

Jak nasadit stack, aniž by se nastavení stalo projektem

Můžete postavit každou vrstvu ručně. To je v pořádku, pokud je práce na nastavení součástí přitažlivosti. Pro většinu čtenářů není. Smyslem tohoto stacku je dostat se pryč od datové gravitace Big Tech, ne strávit týden laděním Dockeru, portů, DNS a service souborů, než vůbec první aplikace poběží.

Cesta s menším třením je začít od funkčního VPS image a od něj zpevňovat. Cloudzy Marketplace zahrnuje one-click VPS image pro WireGuard, Vaultwarden, SearXNG, Nextcloud AIO a další self-hosted nástroje, takže základní nasazení není ta část, která ukrojí víkend.

Práce, na které stále záleží, je práce, kterou za vás žádný marketplace neudělá: DNS, pravidla firewallu, zálohy, řízení přístupu, aktualizace a testování obnovy.

Na serveru pod tím také stále záleží. Tento stack je úložiště, síť, volba regionu a prostor, ne jen názvy aplikací v tabulce. Cloudzy vám dává VPS infrastrukturu postavenou na NVMe, plný root přístup, 13 regionů, síť 40 Gbps, 99,95% dostupnost a 14denní okno na vrácení peněz.

Začněte malí pro WireGuard, Vaultwarden a SearXNG. Posuňte se výš pro Nextcloud. Plánujte seriózněji pro Immich, jakmile do hry vstoupí strojové učení, náhledy a migrace fotek.

Jak začít

Pět vrstev, každá řešící konkrétní hrozbu. Žádná z nich netvrdí, že vás učiní neviditelnými. Všechny snižují konkrétní komerční vystavení dat, které aktuálně ve výchozím nastavení přijímáte.

Vyberte tu jednu vrstvu, která řeší vaši nejkonkrétnější současnou bolest. Pokud jste někdy otevřeli e-mail s oznámením o úniku, to je vrstva identity. Pokud jste si všimli reklam, které vás následují napříč stránkami, které jste nikdy nenavštívili, to je vrstva vyhledávání. Nasaďte tu jednu. Architektura se škáluje. Rozhodnutí začít nemusí.

Nastavení kterékoli jednotlivé vrstvy zabere nanejvýš víkend. Konfigurační soubory jsou krátké. Není důvod, aby to bylo složitější než tohle.

Časté dotazy

Chrání self-hosting na VPS skutečně mé soukromí, nebo jen důvěřuji jinému dodavateli?

Ano, pro tento model hrozeb. Posouvá důvěru od SaaS dodavatelů, kteří zpeněžují uživatelská data, k poskytovateli VPS prodávajícímu infrastrukturu. To snižuje komerční vystavení a profilování napříč službami, ale neskrývá metadata VPS, záznamy o připojení ISP, kompromitovaná zařízení ani sledování na úrovni státu.

Jaký je minimální self-hosted privacy stack, se kterým bych měl začít?

Začněte s WireGuard, Vaultwarden a SearXNG. Ty pokrývají viditelnost sítě, riziko úniku u dodavatele hesel a profilování přihlášeného vyhledávání na VPS se 2 GB RAM. Nextcloud přidejte později; Immich přidejte až poté, co máte více RAM, úložiště a disciplínu v zálohách.

Je hosting ve Frankfurtu nebo Amsterdamu skutečně lepší pro soukromí než v USA?

Evropské regiony mohou snížit některé přímé vystavení vůči poskytovatelům se sídlem v USA, ale nečiní data právně nedotknutelnými. Záleží na jurisdikci společnosti, umístění datacentra, smlouvách, šifrování a umístění záloh. Německé, nizozemské nebo švýcarské právní žádosti mohou stále platit.

Měl bych hostovat svůj e-mail sám kvůli soukromí?

Pro téměř každého ne. Self-hosting e-mailu vyžaduje SPF, DKIM, DMARC, reputaci IP, filtrování spamu a neustálou práci na doručitelnosti. Použijte spravovaného poskytovatele respektujícího soukromí, jako je Proton Mail, Tuta nebo Mailbox.org. PrivacyGuides doporučuje self-hosted e-mail jen pro pokročilé uživatele.

Před čím mě WireGuard vlastně chrání?

WireGuard směruje provoz přes váš VPS, čímž omezuje, co může váš ISP a lokální síť vidět. Neskrývá odchozí provoz před poskytovatelem VPS. Ten může stále vidět metadata připojení, cílové IP, časování a objem. Je to soukromí před vaším ISP, ne neviditelnost.

Sdílet

Další z blogu

Pokračuj ve čtení.

Hotov k nasazení? Od 2,48 $/měs.

Nezávislý cloud od roku 2008. AMD EPYC, NVMe, 40 Gbps. Vrácení peněz do 14 dnů.