Gå til hovedindhold
50% rabat alle planer, tidsbegrænset. Fra $2.48/mo
21 min left
Sikkerhed og netværk

Den bedste fem-lags selvhostede privatlivsstak

J Af Jonas 21 min læsning
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

I marts 2025 rapporterede Krebs on Security at amerikanske føderale efterforskere havde knyttet et kryptovalutatyveri på 150 millioner dollars direkte til LastPass-bruddet i 2022. Mekanismen var enkel: nogle kunder gemte seed-fraser i LastPass Secure Notes, angribere fik fat i krypterede vault-backups, og svage eller ældre vault-beskyttelser lod noget vault-indhold blive knækket offline.

Læren er ikke, at LastPass var enestående skødesløs. Læren er, at hvert brud, du læser om, er en andens data, der bliver tjent penge på, mens undskyldningsmailen ligger i din indbakke. Selvhosting ændrer, hvem der kan gøre det ved dine data. Det ændrer ikke det faktum, at nogen altid kan.

Dette indlæg er for læsere, hvis trusselsmodel er kommerciel dataeksponering, altså Big Tech-monetisering og leverandørbrud, ikke overvågning på statsligt niveau, højrisiko-journalistik, aktivisme eller juridisk bevisindsamling. Arkitekturen nedenfor er en fem-lags stak til netop den trusselsmodel.

Den korte version

Denne stak har fem lag. Hvert lag fjerner én almindelig Big Tech-afhængighed, men ingen af dem gør dig usynlig.

  • Netværk: WireGuard erstatter en kommerciel VPN og begrænser ISP'ens eller det lokale netværks synlighed.
  • Identitet: Vaultwarden erstatter hostede adgangskodemanagere og reducerer eksponering for brud på leverandørsiden.
  • Søgning: SearXNG reducerer søgeprofilering ved at proxy'e søgninger gennem din VPS og holde dem ude af din indloggede søgekonto.
  • Filer og fotos: Nextcloud AIO og Immich erstatter Google Drive og Google Photos og skærer cloud-indholdsscanning og datasammenkobling på tværs af produkter væk.
  • Teamkommunikation: Mattermost eller Rocket.Chat flytter teamchat-historik væk fra Slack, Discord eller Teams.
  • Hovedbegrænsninger: Din VPS-udbyder kan stadig se infrastrukturmetadata, din ISP kan stadig se, at du forbinder til din server, og denne stak er ikke bygget til modstandere på statsligt niveau.
  • Jurisdiktionsbemærkning: EU-hosting styrker datasuverænitetssagen, men det er ikke et magisk skjold.

Selvhosting flytter tillid, det fjerner den ikke

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Der er en langvarig diskussion på Hacker News, og den er korrekt på overfladen: "selvhosting på en VPS løser ikke privatliv, du stoler bare på en anden leverandør." Enhver, der designer en privatlivsarkitektur, bør forholde sig til dette direkte frem for at gå udenom det. Det ærlige svar er, at tillidsskiftet er asymmetrisk. Det er ikke ækvivalent.

Start med, hvad selvhosting reducerer. Din SaaS-udbyders forretningsmodel er ikke længere at udvinde dine data, fordi udbyderen er væk. Eksponering for brud på leverandørsiden ændrer form: Vaultwardens vault er krypteret på klientsiden, men serverlæsbare tjenester som Nextcloud, Mattermost og Rocket.Chat har stadig brug for ordentlig hærdning, backups og adgangskontrol.

LastPass-læren var ikke, at vault-kryptering aldrig eksisterede. Den var, at stjålne krypterede vault-backups, ukrypterede metadata, ældre KDF-indstillinger og svage masteradgangskoder skabte en offline-knækningsvej. Adfærdsprofilering på tværs af tjenester skrumper også, fordi der er færre data på tværs af tjenester for ét firma at samle. Abonnements-låsning falder.

Nu, hvad selvhosting ikke eliminerer. Din VPS-udbyders hypervisor kan i princippet læse din VM's hukommelse. Din VPS-udbyder ser dine metadata på infrastrukturniveau: hvilke IP-adresser du forbinder til, hvornår, og hvor meget data der flyttes.

Din ISP ser stadig, at du forbinder til din server. Juridiske anmodninger fra jurisdiktioner gælder stadig på VPS-udbyderniveau, og en retskendelse er stadig en retskendelse. En kompromitteret VPS, app, database eller administratorkonto kan stadig eksponere data.

Tillidsmatematikken er det, der betyder noget. En VPS-udbyder har mindre kommercielt incitament til at udvinde dine data end Google eller Meta, fordi det månedlige gebyr er forretningsmodellen, og dine data er det ikke. En VPS-udbyder har færre aggregerede data om dig, nemlig din ene server, ikke din søgehistorik, lokationshistorik og indbakke tilsammen.

I EU opererer udbyderen under GDPR og specifikke kontraktvilkår. Intet af dette gør en VPS mere sikker end Google på enhver dimension. Det er en anden trusselsmodel med en anden eksponeringsprofil, og for den trusselsmodel dette indlæg adresserer, er det en meningsfuld forbedring.

Der er endnu en skelnen, der er værd at være præcis omkring. Privatliv er "de ved ikke, hvad jeg laver". Anonymitet er "de ved ikke, at det er mig, der gør det". Selvhosting på en kommerciel VPS forbedrer privatlivet over for SaaS-leverandører og tredjepartsplatforme.

Det giver dig ikke anonymitet over for din VPS-udbyder. Hvis du har brug for anonymitet, bruger du Tor, ikke en VPS, og resten af dette indlæg er det forkerte værktøj.

Afsnittets nøglekonklusion: En VPS flytter din tillid fra en SaaS-leverandør, hvis forretningsmodel er at tjene penge på dine data, til en infrastrukturudbyder, hvis forretningsmodel er at sælge dig en server. For de fleste læseres trusselsmodel er det en meningsfuld forbedring, men det er ikke usynlighed.

Fem-lags-stakken i et overblik

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Fem lag, deployet i denne rækkefølge: netværk, identitet, søgning, filer, kommunikation. Hvert af dem adresserer en distinkt trussel. Du kan deploye dem i etaper, og du kan springe lag over, der ikke gælder for dig. Modellen er mere nyttig end en app-liste, fordi den skalerer med dine bekymringer frem for antallet af tjenester, der kører på din server.

LagAnbefalet appErstatterBeskytter modBeskytter IKKE modRAM-minimum
NetværkWireGuardKommerciel VPNISP- og lokalnetværks-observatører, angribere på offentlig Wi-FiVPS-udbyder der ser din egress, DNS-lækager medmindre konfigureretUnder 100 MB
IdentitetVaultwardenLastPass, 1Password (hostet)Adgangskodebrud på leverandørsiden, genbrug af legitimationsoplysningerSvag masteradgangskode, ingen 2FA, phishing, kompromitteret enhedUnder 200 MB
SøgningSearXNGGoogle Search, BingProfilering ud fra søgeforespørgsler, annoncemålretning baseret på forespørgslerSporing på sider du faktisk besøger, browser-fingerprinting~250 MB
Filer og fotosNextcloud AIO + ImmichGoogle Drive, Google PhotosCloud-leverandørers indholdsscanning, datasammenkobling på tværs af produkterVPS-lagervolumener (kryptering i hvile er op til dig), kompromittering på enhedssiden4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
KommunikationMattermost eller Rocket.ChatSlack, Discord (teambrug)Beskedarkivering og indholdsscanning på leverandørsidenEnd-to-end-kryptering (disse er ikke E2EE som standard)Mattermost: 2 GB minimum; Rocket.Chat: 4 GB+

Afsnittets nøglekonklusion: Start med WireGuard, Vaultwarden og SearXNG, hvis du vil have den letteste privatlivsstak. Tilføj Nextcloud, Immich og teamchat først, når du er klar til højere RAM-forbrug, lagerplanlægning, backups og mere administrationsarbejde.

Lag 1: Netværkslaget (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

WireGuards konfigurationsfil for en typisk enkeltbruger-opsætning er tolv linjer. Dens handshake fuldføres i én tur-retur og bruger Noise-protokol-rammeværket. Kernelmodulet har været i mainline Linux siden 5.6, hvilket betyder, at den protokol, du deployer i 2026, er den samme, der har været revideret og stabil i årevis. Dette er den rette standard.

Hvad dette lag adresserer: ISP- og lokalnetværks-observatører, der ellers ville se hvert domæne, du forbinder til, angribere på offentlig Wi-Fi og din hjemme-IP, der eksponeres over for hver tjeneste, du besøger. Din trafik går ud fra din VPS i stedet for fra din lejlighed.

Hvad det ikke adresserer: din VPS-udbyders syn på din trafik-egress. De ser, hvad dit VPN-endepunkt forbinder til, hvornår og hvor meget. WireGuard skjuler trafik fra din ISP. Det skjuler ikke trafik fra den server, der driver egressen.

DNS-lækager er også et separat problem og håndteres ikke automatisk; du skal pege dine VPN-klienter mod en resolver, du stoler på. Kør Unbound på den samme VPS, eller brug en betroet upstream over DoT eller DoH. Fuld DNS-lags annonceblokering med Pi-hole er et separat emne og ikke det rigtige at kombinere med en VPN-egress for de fleste brugere (mere om dette nedenfor).

WireGuard kontra alternativerne, kort. OpenVPN virker stadig. Handshaket er større, metadata-fodaftrykket er større, og gennemstrømningen er lavere. Der er ingen grund til at vælge det til en ny deployment, medmindre du specifikt har brug for en funktion, WireGuard ikke tilbyder.

Tailscale er et andet værktøj: det er et zero-config mesh bygget på WireGuard og er fremragende til at sy dine egne selvhostede tjenester sammen på tværs af maskiner. Det er ikke det, du vil have som en privatlivs-egress til internettet, fordi koordineringsplanet hostes af Tailscale.

Bemærk: At ændre standardporten 51820/UDP kan reducere lavindsats-scanninger, men det får ikke WireGuard til at ligne almindelig HTTPS-trafik eller omgå seriøs filtrering. Behandl det som scanningsreduktion, ikke stealth.

Til deployment har vi en trin-for-trin WireGuard-opsætningsguide til Ubuntu der passer med denne arkitektur.

Afsnittets nøglekonklusion: WireGuard på din VPS giver dig en privat netværks-egress, som din ISP ikke kan inspicere, men det skjuler ikke din trafik fra den VPS-udbyder, der driver egressen.

Lag 2: Identitetslaget (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden kører på under 200 MB RAM. Det er en Rust-reimplementering af Bitwarden-API'en, kompatibel med enhver officiel Bitwarden-klient (browserudvidelser, skrivebordsapps, mobilapps), og den kræver ikke det tunge Bitwarden-server-referencebillede. For en enkelt bruger eller en husstand er dette den rette størrelse.

Hvad dette lag adresserer: adgangskodebrud på leverandørsiden, som LastPass-typen af svigt, hvor vault-indhold lækkede og til sidst blev dekrypteret offline. Genbrug af legitimationsoplysninger på tværs af tjenester bliver mekanisk sværere, når du først har en adgangskodemanager, du faktisk bruger. Aggregering af identitetsprofiler på tværs af tjenester falder, fordi ingen tredjepart ser listen.

Hvad det ikke adresserer: din egen OpSec. En svag masteradgangskode, ingen 2FA på vaulten eller et vellykket phishing-angreb på dig besejrer dette lag fuldstændigt. En kompromitteret enhed med en indlogget browserudvidelse besejrer det endnu mere fuldstændigt. Vaultwarden er en vault, ikke en erstatning for det grundlæggende.

Der er én driftsadvarsel, der betyder mere end nogen anden i denne stak. At selvhoste din adgangskodemanager betyder, at du er ansvarlig for backups. En VPS, der fejler på det forkerte tidspunkt, eller en server, du ved et uheld sletter, låser dig ude af hver konto, dette lag beskytter.

XDA Developers har også dækket denne risiko direkteog advaret om, at en selvhostet adgangskodemanager kan låse dig ude af vigtige konti, hvis adgang, backups eller genoprettelsesplanlægning fejler.

Advarsel: Kør automatiserede krypterede backups af Vaultwarden-datamappen. Behold en krypteret offline-eksport, opbevar genoprettelseskoder separat, og test genoprettelse på en reserveenhed eller midlertidig container. Stol ikke på en enkelt VPS-backup. Dette er ikke valgfrit. Dette er prisen for at tage vaulten ud af leverandørinfrastruktur.

Hvis du senere centraliserer single sign-on på tværs af flere selvhostede tjenester, er Authentik den open source-identitetsudbyder, de fleste ender hos. Det er et avanceret lag og uden for omfanget af kernestakken.

Til deployment er vores Vaultwarden-selvhostingsguide deployment-ledsageren. For et dybere kig på landskabet af adgangskodemanagere, se vores guide til de bedste selvhostede adgangskodemanagere.

Afsnittets nøglekonklusion: Vaultwarden flytter din adgangskode-vault ud af brudsudsat leverandørinfrastruktur, men den lægger backup- og genoprettelsesbyrden på dig, og den byrde er reel.

Lag 3: Søgnings- og browsinglaget (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

En SearXNG-instans modtager din forespørgsel, sender den ud til upstream-motorer (Google, Bing, DuckDuckGo, andre du aktiverer), fjerner nogle identificerende parametre og returnerer en samlet resultatside.

Dine forespørgsler når Google, men de når Google som forespørgsler fra din VPS, ikke fra din indloggede søgekonto. En enkeltbruger-instans skaber ikke en stor anonymitetspulje, så upstream-motorer kan stadig forbinde forespørgselsmønstre med den VPS-IP.

Hvad dette lag adresserer: profilering ud fra søgeforespørgsler, adfærdsbaseret annoncemålretning knyttet til din indloggede søgehistorik og søgekontoens lange hukommelse. Problemet med "hvorfor ser jeg annoncer for det, jeg søgte i går" reduceres på søgekonto-niveau.

Hvad det ikke adresserer: sporing fra sider, du faktisk klikker dig videre til. Cookies, fingerprinting og trackere på tredjepartssider er et browserside-problem, ikke et søgeside-problem. Brug en hærdet browserkonfiguration til at adressere det.

SearXNG anonymiserer dig heller ikke over for upstream-søgemaskinen, hvis din VPS kun sender dine forespørgsler til den; aggregeret trafik fra en travl instans skjuler enkeltbrugere i støjen, men en enkeltbruger-instans kan stadig ligne én brugers søgemønster.

Whoogle Search er det lettere alternativ. Det er en Google-frontend, simplere, og gør én ting. SearXNG aggregerer flere motorer, hvilket er mere nyttigt, hvis din grund til at forlade Google ikke specifikt var Google. Vælg på baggrund af, hvor mange kilder du faktisk vil have.

En driftsbemærkning for enkeltbruger-instanser. SearXNG videresender forespørgsler til upstream-motorer, og Google kan rate-limit'e mistænkelige trafikmønstre. En enkelt bruger rammer sjældent dette. En lille offentlig instans kan. Hvis forespørgsler begynder at fejle, så reducer antallet af upstream-motorer, tun SearXNGs limiter-indstillinger, eller læn dig mere op ad mindre fjendtlige upstream-motorer.

Afsnittets nøglekonklusion: SearXNG proxy'er dine søgninger gennem din VPS og holder dem ude af din indloggede søgekonto. Det reducerer direkte søgeprofilering, men en privat enkeltbruger-instans skaber ikke en stor anonymitetspulje.

Lag 4: Fil- og fotolaget (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO er all-in-one Docker-deploymentet af Nextcloud og er vejen med mindst modstand til en fungerende server til filsynkronisering, kalender, kontakter og dokumentsamarbejde.

Immich er fotopendanten: tidslinjevisning, mobil auto-upload fra iOS og Android, ansigtsgenkendelse i Google Photos-stil behandlet på din egen server eller valgte ML-host, og en ærlig community-konsensus om, at det er den mest brugbare Google Photos-erstatning, der findes lige nu.

Dette er ikke letvægtsapplikationer. Nextcloud AIO bør behandles som en grundlinje på 4 GB / 2 vCPU; Immichs maskinlæring, miniaturegenerering og første biblioteksskanning vil bruge, hvad du giver den.

Hvad dette lag adresserer: cloud-lagerleverandørers scanning, billedindholdsgenkendelse og cloud-side behandling, der holder et følsomt personligt bibliotek inde i en leverandørkonto, og datacentralisering på kontoniveau, der holder filer, fotos, søgning, lokationshistorik og identitetssignaler under én virksomhedskonto.

At erstatte dette med en server, du kontrollerer, bryder den centralisering.

Hvad det ikke adresserer: bytesene lever stadig på et lagervolumen, som din VPS-udbyder driver. Kryptering i hvile er dit ansvar, ikke deres som standard. Kompromittering på enhedssiden er et separat problem; hvis din telefon er rootet, er Nextcloud-klienten på den eksponeret uanset hvor serveren befinder sig.

Hvis dit eneste behov er "hold disse mapper synkroniseret mellem mine enheder", er Syncthing det simplere værktøj. Det er peer-to-peer, har ingen server i midten og gør den ene opgave godt. Det er ikke en erstatning for de funktioner til kalender, kontakter og samarbejde, Nextcloud tilbyder; det er en erstatning for filsynkroniserings-delmængden.

For Immich specifikt betyder én praktisk dimensioneringsregel noget. Nextcloud AIO bør behandles som en grundlinje på 4 GB / 2 vCPU. Immich er ikke en let foto-sidecar, når først maskinlæring, miniaturer og en første biblioteksskanning kommer ind i billedet. Planlæg omkring 6-8 GB RAM til Immich-tunge opsætninger, især under migrering.

Til deployment har vi en Nextcloud vs. ownCloud-sammenligning for brugere, der stadig vælger mellem de to, og et bredere selvhostede cloud-platforme med en web-UI overblik, hvis du undersøger feltet.

Afsnittets nøglekonklusion: Nextcloud og Immich kan flytte filer og fotos ud af cloud-konti i Google-stil, men de er det første lag i denne stak, der kræver seriøs RAM, lagerplads, backup-planlægning og tålmodighed med migrering.

Lag 5: Kommunikationslaget (Mattermost eller Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Slack-workspaces er søgbare af Slack. Discord scanner indhold for ToS-overtrædelser. Microsoft Teams gemmer chatregistre under dit miljøs politikker, som er politikker, din IT-organisation kan se.

For team- eller familiechat, der ikke bør bo nogen af de steder, er en selvhostet Mattermost eller Rocket.Chat standardsvaret. Dette lag handler om at holde teamarkiver ude af SaaS, ikke om privat end-to-end-chat.

Hvad dette lag adresserer: beskedarkivering på leverandørsiden, indholdsscanning på leverandørsiden og det adgangstab, der sker, når leverandøren beslutter, at din konto er et problem. Dit teams beskedhistorik sidder på din server.

Hvad det ikke adresserer, og dette betyder noget: end-to-end-kryptering. Mattermost og Rocket.Chat er ikke E2EE som standard. Serveradministratoren kan læse beskeder. Serveradministratoren er nu dig, hvilket er bedre end at være en SaaS-leverandørs ansatte, men princippet betyder stadig noget for dit teams trusselsmodel.

Til sikker en-til-en-beskedudveksling er Signal det rette svar, ikke en selvhostet server. Hvis kommunikationslaget skal være E2EE som standard, så kig på Matrix/Element eller brug Signal til personlige chats i stedet. Selvhosting løser teambeskeder uden en leverandør; det erstatter ikke Signal til personlige trusselsmodeller.

Mattermost kontra Rocket.Chat. Begge er gyldige. Mattermost er strammere, mere enterprise-formet og har færre valgfrie funktioner slået til som standard. Rocket.Chat er bredere, integrerer flere kanaltyper og har et større plugin-økosystem. Begge er fine til det typiske privatlivsstak-brugsscenarie med en lille team- eller familiechat.

2026-forbehold: Tjek den præcise gratis edition, før du deployer Mattermost. Mattermost Entry har et historikloft på 10.000 beskeder, mens Team Edition undgår det loft, men har sine egne grænser. For Rocket.Chat skal du budgettere mere end en lille VPS på 1 GB, fordi MongoDB, uploads og integrationer tilføjer overhead.

Afsnittets nøglekonklusion: En selvhostet Mattermost eller Rocket.Chat fjerner dit teams chatarkiv fra en SaaS-leverandør, men hvis du har brug for ægte end-to-end-kryptering mellem to personer, er Signal stadig det rette værktøj.

Hvad du IKKE bør selvhoste (og hvorfor)

Nogle ting, der ser ud, som om de hører til i en privatlivsstak, gør det ikke. At liste dem op er en del af at bygge en stak, der er værd at stole på.

E-mail. Selvhost ikke e-mail, hvis du ikke allerede er en erfaren Linux-operatør, der specifikt vil. PrivacyGuides har en klar og velkendt holdning til dette, og det er den rette: kun avancerede brugere bør køre deres egen mailserver. Grundene er ikke teknisk nysgerrighed. SPF, DKIM og DMARC skal konfigureres og holdes korrekte.

IP-omdømme skal optjenes og vedligeholdes. Spamfiltrering er en permanent tilstand. Leveringskampen med Gmail er ikke et opsætningstrin; det er en vedvarende tilstand. For alle andre er en administreret privatlivsrespekterende udbyder ægte det rette svar til dette lag.

Proton Mail, Tuta (tidligere Tutanota) og Mailbox.org er alle gode valg. Dette er en hård regel i dette indlæg: selvhost ikke e-mail til privatliv for et bredt publikum.

Pi-hole som dit hjemmenetværks primære DNS-resolver, på en VPS. Pi-hole er fantastisk. At placere den på en VPS som rekursiv resolver for hele din husstands internet er et enkelt fejlpunkt, der bryder internettet for alle i huset, når VPS'en hakker. Pi-hole hører hjemme på en Raspberry Pi derhjemme. Den er ikke en del af denne stak.

Fødereret sociale medier. Mastodon, Pleroma og resten er interessante og beslægtede. Udbredelse er hovedbegrænsningen, ikke privatliv. De er det rette svar for nogle, men ikke kerne i en privatlivsstak fokuseret på at få dine egne data væk fra Big Techs servere.

Anonymitetsværktøjer. Tor, I2P, mixnets. Anden trusselsmodel, andet indlæg. Hvis du har brug for dem, ved du det allerede.

Sammenfatningen: Proton Mail eller en jævnbyrdig er en administreret mulighed for ét specifikt lag, og at anerkende det er en del af en stak, der er værd at bruge. Selvhosting hjælper, hvor de udbydere ikke dækker hele arbejdsflowet: fotos, søgning, brugerdefineret analyse og teamchat. For privatliv til et bredt publikum er e-mail det ene lag, denne stak bør outsource.

Afsnittets nøglekonklusion: De fleste brugere bør ikke selvhoste e-mail. En privatlivsrespekterende administreret udbyder som Proton Mail er ægte det bedre svar til netop det lag, og at anerkende det er en del af at bygge en pålidelig stak.

Hvor man kører det: VPS-dimensionering og jurisdiktion

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

Dimensioneringsspørgsmålet er ikke abstrakt. Denne stak har tre praktiske former: den lette privatlivskerne, fil-laget og den foto-tunge version, der bringer Immichs maskinlæring ind i blandingen. Springet fra den ene til den næste er ikke kosmetisk. Filer, miniaturer, ansigtsgenkendelse og første-biblioteks-migrering er det, der gør en lille VPS til et ordentligt serverbudget.

Deployment-formInkluderede appsRealistisk VPS-minimum
Minimum levedygtig stakWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Nextcloud-grundlinjeWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Fil- og fotostakWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Bemærkning om lagring og backupHovedsageligt Nextcloud og ImmichNVMe-lagring + backups uden for serveren

Læs tabellen sådan:

  • Minimumsstak dækker de tre lag med højest afkast: netværk, identitet og søgning.
  • Nextcloud-grundlinje kræver mere råderum, fordi PHP, databasearbejde, filindeksering, synkroniseringsjobs og web-UI'en alle kører sammen.
  • Fil- og fotostak kræver et større budget, fordi Immichs maskinlæring, miniaturer, ansigtsgenkendelse og den første foto-biblioteksskanning kan ramme serveren hårdt under migrering.
  • Lagring betyder noget, fordi compute kun er halvdelen af planen. Filer og fotos har brug for plads til at vokse, backups væk fra VPS'en og en genoprettelsesvej, der stadig virker, hvis serveren er væk.

Så er der jurisdiktion. I juni 2025 vidnede Microsoft for det franske parlament om, at de ikke kunne garantere, at EU-hostede data ville være beskyttet mod amerikansk juridisk adgang. Det vidnesbyrd flyttede datasuverænitetsargumentet ud af teori og ind i den brede policy-samtale.

For brugere, der prioriterer datasuverænitet, betyder virksomhedens jurisdiktion, datacenterets placering, kontrakter, krypteringsmodel og backup-placering alt sammen noget.

If CLOUD Act -eksponering er en del af bekymringen, behandl ikke et EU-datacenter alene som hele svaret. En udbyder med hovedkvarter uden for USA og en europæisk region passer renere end en amerikansk-hovedkvarteret hyperscalers EU-region, men det gør stadig ikke dataene juridisk uberørlige.

Forbeholdet: Jurisdiktion er friktion, ikke uovervindelighed. En tysk retskendelse er stadig en retskendelse. En hollandsk er det også. Det samme er en schweizisk juridisk anmodning. Europæisk hosting kan reducere noget direkte eksponering over for amerikansk-hovedkvarterede cloud-udbydere og tilføje lokal retsproces, men det gør ikke data juridisk uberørlige.

For de fleste læseres trusselsmodel er den ekstra friktion nyttig. Det er ikke et magisk skjold.

Afsnittets nøglekonklusion: Den lette stak kan køre på en lille VPS, men filer og fotos ændrer budgettet. Brug 4 GB / 2 vCPU som en Nextcloud-kun grundlinje, og planlæg tættere på 8 GB / 4 vCPU til en foto-tung Immich-opsætning. Cloudzy Marketplace sænker opsætningsindsatsen for kerne-apperne, mens jurisdiktion tilføjer juridisk friktion, ikke usynlighed.

Sådan deployer du stakken uden at gøre opsætningen til hele projektet

Du kan bygge hvert lag manuelt. Det er fint, hvis opsætningsarbejdet er en del af tiltrækningen. For de fleste læsere er det ikke. Pointen med denne stak er at komme væk fra Big Techs datatyngdekraft, ikke at bruge en uge på at fejlfinde Docker, porte, DNS og servicefiler, før den første app overhovedet kører.

Vejen med mindre friktion er at starte fra et fungerende VPS-image og hærde derfra. Cloudzy Marketplace inkluderer ét-klik VPS-images til WireGuard, Vaultwarden, SearXNG, Nextcloud AIO og andre selvhostede værktøjer, så den grundlæggende deployment ikke er den del, der æder weekenden.

Det arbejde, der stadig betyder noget, er det arbejde, ingen marketplace kan gøre for dig: DNS, firewall-regler, backups, adgangskontroller, opdateringer og test af genoprettelse.

Serveren nedenunder betyder også stadig noget. Denne stak er lagring, netværk, regionsvalg og råderum, ikke kun app-navne i en tabel. Cloudzy giver dig NVMe-baseret VPS-infrastruktur, fuld root-adgang, 13 regioner, 40 Gbps-netværk, 99,95 % oppetid og en 14-dages pengene-tilbage-periode.

Start småt for WireGuard, Vaultwarden og SearXNG. Ryk op for Nextcloud. Planlæg mere seriøst for Immich, når først maskinlæring, miniaturer og fotomigrering kommer ind i billedet.

Sådan kommer du i gang

Fem lag, der hver adresserer en specifik trussel. Ingen af dem hævder at gøre dig usynlig. Alle reducerer specifik kommerciel dataeksponering, som du i øjeblikket accepterer som standard.

Vælg det ene lag, der adresserer din mest konkrete aktuelle smerte. Hvis du nogensinde har åbnet en brud-notifikationsmail, er det identitetslaget. Hvis du har bemærket annoncer, der følger dig på tværs af sider, du aldrig har besøgt, er det søgelaget. Deploy det ene. Arkitekturen skalerer. Beslutningen om at starte behøver ikke at gøre det.

Opsætningen af ethvert enkelt lag tager højst en weekend. Konfigurationsfilerne er korte. Der er ingen grund til, at det skal være mere kompliceret end dette.

Ofte stillede spørgsmål

Beskytter selvhosting på en VPS faktisk mit privatliv, eller stoler jeg bare på en anden leverandør?

Ja, for denne trusselsmodel. Det flytter tillid fra SaaS-leverandører, der tjener penge på brugerdata, til en VPS-udbyder, der sælger infrastruktur. Det reducerer kommerciel eksponering og profilering på tværs af tjenester, men det skjuler ikke VPS-metadata, ISP-forbindelsesregistre, kompromitterede enheder eller overvågning på statsligt niveau.

Hvad er den minimale selvhostede privatlivsstak, jeg bør starte med?

Start med WireGuard, Vaultwarden og SearXNG. De dækker netværkssynlighed, risiko for brud hos adgangskodeleverandør og indlogget søgeprofilering på en VPS med 2 GB RAM. Tilføj Nextcloud senere; tilføj kun Immich, når du har mere RAM, lagerplads og backup-disciplin.

Er hosting i Frankfurt eller Amsterdam faktisk bedre for privatlivet end USA?

Europæiske regioner kan reducere noget direkte eksponering over for udbydere med hovedkvarter i USA, men de gør ikke data juridisk uberørlige. Virksomhedens jurisdiktion, datacenterets placering, kontrakter, kryptering og backup-placering betyder alt sammen noget. Tyske, hollandske eller schweiziske juridiske anmodninger kan stadig gælde.

Bør jeg selvhoste min e-mail for privatlivets skyld?

For næsten alle, nej. Selvhosting af e-mail kræver SPF, DKIM, DMARC, IP-omdømme, spamfiltrering og konstant leveringsarbejde. Brug en administreret privatlivsudbyder som Proton Mail, Tuta eller Mailbox.org. PrivacyGuides anbefaler kun selvhostet e-mail til avancerede brugere.

Hvad beskytter WireGuard mig faktisk mod?

WireGuard router trafik gennem din VPS og begrænser, hvad din ISP og dit lokale netværk kan se. Det skjuler ikke egress-trafik fra VPS-udbyderen. De kan stadig se forbindelsesmetadata, destinations-IP'er, timing og volumen. Det er privatliv fra din ISP, ikke usynlighed.

Del

Mere fra bloggen

Læs videre.

Klar til at udrulle? Fra 2,48 $/md.

Uafhængig cloud siden 2008. AMD EPYC, NVMe, 40 Gbps. 14 dages pengene-tilbage-garanti.