2025 márciusában a Krebs on Security jelentette , hogy az amerikai szövetségi nyomozók egy 150 millió dolláros kriptovaluta-lopást közvetlenül a 2022-es LastPass-incidenshez kötöttek. A mechanizmus egyszerű volt: néhány ügyfél seed-kifejezéseket tárolt a LastPass Secure Notesban, a támadók titkosított széftartalék-mentésekhez jutottak, és a gyenge vagy régebbi széfvédelmek hagyták, hogy némi széftartalmat offline feltörjenek.
A tanulság nem az, hogy a LastPass egyedülállóan hanyag volt. A tanulság az, hogy minden incidens, amelyről olvasol, valaki más adata, amelyet pénzzé tesznek, miközben a bocsánatkérő email a postafiókodban ül. A saját hostolás megváltoztatja, ki teheti ezt az adataiddal. Nem változtatja meg azt a tényt, hogy valaki mindig megteheti.
Ez a bejegyzés azoknak az olvasóknak szól, akiknek a fenyegetésmodellje a kereskedelmi adatkitettség, azaz a Big Tech pénzzé tétele és a gyártói incidensek, nem az állami szintű megfigyelés, a magas kockázatú újságírás, az aktivizmus vagy a jogi feltárás. Az alábbi architektúra egy ötrétegű stack arra a konkrét fenyegetésmodellre.
A rövid verzió
Ennek a stacknek öt rétege van. Minden réteg eltávolít egy gyakori Big Tech függőséget, de egyikük sem tesz láthatatlanná.
- Hálózat: a WireGuard helyettesít egy kereskedelmi VPN-t, és korlátozza az internetszolgáltató vagy a helyi hálózat láthatóságát.
- Identitás: a Vaultwarden helyettesíti a hostolt jelszókezelőket, és csökkenti a gyártóoldali incidenskitettséget.
- Keresés: a SearXNG csökkenti a keresési profilalkotást azzal, hogy a kereséseket a VPS-eden keresztül proxizza, és kitartja őket a bejelentkezett keresési fiókodból.
- Fájlok és fotók: a Nextcloud AIO és az Immich helyettesíti a Google Drive-ot és a Google Photost, levágva a felhőtartalom-szkennelést és a termékek közötti adatösszekapcsolást.
- Csapatkommunikáció: a Mattermost vagy a Rocket.Chat leveszi a csapatchat-előzményt a Slackről, a Discordról vagy a Teamsről.
- Fő korlátok: a VPS-szolgáltatód továbbra is láthatja az infrastruktúra-metaadatokat, az internetszolgáltatód továbbra is láthatja, hogy a szerveredhez csatlakozol, és ez a stack nem állami szintű ellenfelekre épült.
- Joghatósági megjegyzés: az EU-s hostolás erősíti az adatszuverenitási érvet, de nem varázspajzs.
A saját hostolás eltolja a bizalmat, nem szünteti meg

Van egy régóta futó vita a Hacker Newson, és ez a felszínen helytálló: "a VPS-en való saját hostolás nem oldja meg a magánéletet, csak egy másik gyártóban bízol". Bárkinek, aki magánélet-architektúrát tervez, ezzel közvetlenül kell foglalkoznia, nem körülötte. Az őszinte válasz az, hogy a bizalmi eltolódás aszimmetrikus. Nem egyenértékű.
Kezdjük azzal, mit csökkent a saját hostolás. A SaaS-szolgáltatód üzleti modellje már nem az, hogy az adataidat bányássza, mert a szolgáltató eltűnt. A gyártóoldali incidenskitettség alakot vált: a Vaultwarden széfje kliensoldalon titkosított, de a szerver által olvasható szolgáltatások, mint a Nextcloud, a Mattermost és a Rocket.Chat, még mindig megfelelő keményítést, biztonsági mentéseket és hozzáférés-vezérlést igényelnek.
A LastPass-tanulság nem az volt, hogy a széftitkosítás sosem létezett. Az volt, hogy az ellopott titkosított széfmentések, a titkosítatlan metaadatok, a régebbi KDF-beállítások és a gyenge mesterjelszavak offline feltörési utat hoztak létre. A szolgáltatások közötti viselkedési profilalkotás is zsugorodik, mert kevesebb a szolgáltatások közötti adat, amelyet egy cég összerakhatna. Az előfizetési lock-in csökken.
Most, mit nem szüntet meg a saját hostolás. A VPS-szolgáltatód hipervizora elvileg olvashatja a VM-ed memóriáját. A VPS-szolgáltatód látja az infrastruktúra-szintű metaadataidat: melyik IP-khez csatlakozol, mikor, és mennyi adat mozog.
Az internetszolgáltatód továbbra is látja, hogy a szerveredhez csatlakozol. A joghatósági jogi kérelmek továbbra is érvényesek a VPS-szolgáltató szintjén, és egy bírósági végzés továbbra is bírósági végzés. Egy kompromittált VPS, alkalmazás, adatbázis vagy adminfiók továbbra is felfedhet adatokat.
A bizalmi számítás az, ami számít. Egy VPS-szolgáltatónak kevesebb kereskedelmi ösztönzője van az adataid bányászására, mint a Google-nek vagy a Metának, mert a havi díj az üzleti modell, és az adataid nem azok. Egy VPS-szolgáltatónak kevesebb összesített adata van rólad, nevezetesen az egy szervered, nem a kereséselőzményed, helyelőzményed és postafiókod együtt.
Az EU-ban a szolgáltató a GDPR és konkrét szerződéses feltételek alatt működik. Mindez nem teszi a VPS-t minden dimenzióban biztonságosabbá a Google-nél. Ez egy más fenyegetésmodell, más kitettségi profillal, és a bejegyzés által tárgyalt fenyegetésmodellhez érdemi javulás.
Van még egy különbség, amelyet érdemes pontosan megfogalmazni. A magánélet az, hogy "nem tudják, mit csinálok". Az anonimitás az, hogy "nem tudják, hogy én csinálom". A kereskedelmi VPS-en való saját hostolás javítja a magánéletet a SaaS-gyártókkal és a harmadik féltől származó platformokkal szemben.
Nem ad anonimitást a VPS-szolgáltatóddal szemben. Ha anonimitásra van szükséged, Tort használsz, nem VPS-t, és a bejegyzés többi része a rossz eszköz.
A szakasz fő tanulsága: egy VPS eltolja a bizalmadat egy SaaS-gyártótól, amelynek üzleti modellje az adataid pénzzé tétele, egy infrastruktúra-szolgáltató felé, amelynek üzleti modellje egy szerver eladása neked. A legtöbb olvasó fenyegetésmodelljéhez ez érdemi javulás, de nem láthatatlanság.
Az ötrétegű stack egy pillantásra

Öt réteg, ebben a sorrendben telepítve: hálózat, identitás, keresés, fájlok, kommunikáció. Mindegyik egy különböző fenyegetést kezel. Szakaszokban telepítheted őket, és kihagyhatod azokat a rétegeket, amelyek nem vonatkoznak rád. A modell hasznosabb egy alkalmazáslistánál, mert az aggályaiddal skálázódik, nem a szervereden futó szolgáltatások számával.
| Réteg | Ajánlott alkalmazás | Helyettesít | Véd ez ellen | NEM véd ez ellen | RAM-alsó határ |
|---|---|---|---|---|---|
| Hálózat | WireGuard | Kereskedelmi VPN | Internetszolgáltatói és helyi hálózati megfigyelők, nyilvános Wi-Fi-támadók | A VPS-szolgáltató látja a kimenő forgalmadat, DNS-szivárgások, hacsak nincs konfigurálva | 100 MB alatt |
| Identitás | Vaultwarden | LastPass, 1Password (hostolt) | Gyártóoldali jelszóincidensek, hitelesítőadat-újrahasználat | Gyenge mesterjelszó, nincs 2FA, adathalászat, eszközkompromittálás | 200 MB alatt |
| Keresés | SearXNG | Google Search, Bing | Keresési lekérdezés profilalkotás, lekérdezés-alapú hirdetéscélzás | Követés a ténylegesen meglátogatott oldalakon, böngésző-ujjlenyomatozás | ~250 MB |
| Fájlok és fotók | Nextcloud AIO + Immich | Google Drive, Google Photos | Felhőgyártói tartalomszkennelés, termékek közötti adatösszekapcsolás | VPS-tárolókötetek (a nyugalmi titkosítás rajtad múlik), eszközoldali kompromittálás | 4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled |
| Kommunikáció | Mattermost vagy Rocket.Chat | Slack, Discord (csapathasználat) | Gyártóoldali üzenetarchiválás és tartalomszkennelés | Végpontok közötti titkosítás (ezek alapból nem E2EE-k) | Mattermost: 2 GB alsó határ; Rocket.Chat: 4 GB+ |
A szakasz fő tanulsága: Kezdd a WireGuarddal, a Vaultwardennel és a SearXNG-vel, ha a legkönnyebb magánélet-stacket akarod. Csak akkor add hozzá a Nextcloudot, az Immichet és a csapatchatet, ha készen állsz a magasabb RAM-használatra, a tárhelytervezésre, a biztonsági mentésekre és a több admin munkára.
1. réteg: a hálózati réteg (WireGuard)

A WireGuard konfigurációs fájlja egy tipikus egyfelhasználós beállításhoz tizenkét sor. A kézfogása egy oda-vissza körben befejeződik, és a Noise protokollkeretrendszert használja. A kernelmodul az 5.6 óta a mainline Linuxban van, ami azt jelenti, hogy a 2026-ban telepített protokoll ugyanaz, amelyet évek óta auditáltak és stabil. Ez a helyes alapértelmezés.
Amit ez a réteg kezel: internetszolgáltatói és helyi hálózati megfigyelők, akik egyébként látnák minden domaint, amelyhez csatlakozol, nyilvános Wi-Fi-támadók, és az otthoni IP-d, amely minden meglátogatott szolgáltatás felé kitett. A forgalmad a VPS-edről lép ki, nem a lakásodból.
Amit nem kezel: a VPS-szolgáltatód rálátása a kimenő forgalmadra. Látják, mihez csatlakozik a VPN-végpontod, mikor, és mennyihez. A WireGuard elrejti a forgalmat az internetszolgáltatód elől. Nem rejti el a forgalmat a szerver elől, amely a kilépést üzemelteti.
A DNS-szivárgások szintén külön probléma, és nem kezelődnek automatikusan; a VPN-klienseidet egy általad megbízható feloldóra kell mutatnod. Futtasd az Unboundot ugyanazon a VPS-en, vagy használj egy megbízható upstreamet DoT vagy DoH felett. A teljes DNS-szintű hirdetésblokkolás a Pi-hole-lal külön téma, és a legtöbb felhasználó számára nem a megfelelő dolog VPN-kilépéssel kombinálni (erről bővebben lentebb).
A WireGuard kontra az alternatívák, röviden. Az OpenVPN még mindig működik. A kézfogás nagyobb, a metaadat-lábnyom nagyobb, és az átviteli sebesség alacsonyabb. Nincs ok arra, hogy egy új telepítéshez ezt válaszd, hacsak nincs kifejezetten szükséged egy funkcióra, amelyet a WireGuard nem kínál.
A Tailscale egy másik eszköz: ez egy nulla-konfigurációs mesh, amely WireGuardra épül, és kiváló a saját hostolt szolgáltatásaid összefűzéséhez gépeken át. Nem az, amit magánélet-kilépésként akarsz az internetre, mert a koordinációs síkot a Tailscale hostolja.
Megjegyzés: az alapértelmezett 51820/UDP port megváltoztatása csökkentheti az alacsony erőfeszítésű szkenneléseket, de nem teszi a WireGuardot a hétköznapi HTTPS-forgalomhoz hasonlóvá, és nem kerüli meg a komoly szűrést. Kezeld szkennelés-csökkentésként, nem rejtőzködésként.
A telepítéshez van egy lépésről lépésre WireGuard beállítási útmutatónk Ubuntuhoz amely párba áll ezzel az architektúrával.
A szakasz fő tanulsága: A WireGuard a VPS-eden ad neked egy privát hálózati kilépést, amelyet az internetszolgáltatód nem tud átvizsgálni, de nem rejti el a forgalmadat a kilépést üzemeltető VPS-szolgáltató elől.
2. réteg: az identitásréteg (Vaultwarden)

A Vaultwarden 200 MB-nál kevesebb RAM-ban fut. Ez a Bitwarden API Rust-újraimplementációja, kompatibilis minden hivatalos Bitwarden klienssel (böngészőbővítmények, asztali alkalmazások, mobilalkalmazások), és nem igényli a nehézsúlyú Bitwarden szerver referenciaképet. Egy felhasználónak vagy egy háztartásnak ez a megfelelő méret.
Amit ez a réteg kezel: gyártóoldali jelszóincidensek, mint a LastPass-stílusú kudarc, ahol a széftartalmak kiszivárogtak, és végül offline visszafejtették őket. A hitelesítőadat-újrahasználat a szolgáltatások között mechanikusan nehezebbé válik, amint van egy jelszókezelőd, amelyet ténylegesen használsz. Az identitásprofil-összesítés a szolgáltatások között csökken, mert egyetlen harmadik fél sem látja a listát.
Amit nem kezel: a saját OpSec-edet. Egy gyenge mesterjelszó, a 2FA hiánya a széfen, vagy egy sikeres adathalász-támadás ellened teljesen legyőzi ezt a réteget. Egy kompromittált eszköz bejelentkezett böngészőbővítménnyel még teljesebben legyőzi. A Vaultwarden egy széf, nem helyettesíti az alapokat.
Van egy operatív figyelmeztetés, amely minden másnál jobban számít ebben a stackben. A jelszókezelőd saját hostolása azt jelenti, hogy te felelsz a biztonsági mentésekért. Egy VPS, amely rossz pillanatban hibázik, vagy egy szerver, amelyet véletlenül letörölsz, kizár minden fiókból, amelyet ez a réteg véd.
Az XDA Developers is közvetlenül foglalkozott ezzel a kockázattal, figyelmeztetve, hogy egy saját hostolt jelszókezelő kizárhat fontos fiókokból, ha a hozzáférés, a biztonsági mentések vagy a helyreállítási tervezés kudarcot vall.
Figyelmeztetés: futtass automatizált titkosított biztonsági mentéseket a Vaultwarden adatkönyvtáráról. Tarts egy titkosított offline exportot, tárold a helyreállítási kódokat külön, és teszteld a visszaállítást egy tartalék eszközön vagy ideiglenes konténeren. Ne támaszkodj egyetlen VPS-biztonsági mentésre. Ez nem opcionális. Ez az ára annak, hogy kivedd a széfet a gyártói infrastruktúrából.
Ha később több saját hostolt szolgáltatáson át központosítod az egyszeri bejelentkezést, az Authentik az a nyílt forráskódú identitásszolgáltató, ahol a legtöbb ember köt ki. Ez egy haladó réteg, és a mag stacken kívül esik.
A telepítéshez a Vaultwarden saját hostolási útmutatónk a telepítési kísérő. A jelszókezelők tájképének mélyebb pillantásához lásd az útmutatónkat a legjobb saját hostolt jelszókezelőkről.
A szakasz fő tanulsága: A Vaultwarden kiviszi a jelszószéfedet az incidensre hajlamos gyártói infrastruktúrából, de a biztonsági mentés és a helyreállítás terhét rád teszi, és ez a teher valós.
3. réteg: a keresési és böngészési réteg (SearXNG)

Egy SearXNG-példány megkapja a lekérdezésedet, kiszórja az upstream motorokhoz (Google, Bing, DuckDuckGo, mások, amelyeket engedélyezel), leszed néhány azonosító paramétert, és egy egységes találati oldalt ad vissza.
A lekérdezéseid elérik a Google-t, de a VPS-edről érkező lekérdezésekként érik el a Google-t, nem a bejelentkezett keresési fiókodból. Egy egyfelhasználós példány nem hoz létre nagy anonimitási poolt, így az upstream motorok még mindig társíthatnak lekérdezési mintázatokat azzal a VPS IP-vel.
Amit ez a réteg kezel: keresési lekérdezés profilalkotás, a bejelentkezett kereséselőzményedhez kulcsolt viselkedési hirdetéscélzás, és egy keresési fiók hosszú emlékezete. A "miért látok hirdetéseket arra, amit tegnap kerestem" probléma csökken a keresési fiók szintjén.
Amit nem kezel: a követés azokon az oldalakon, amelyekre ténylegesen átkattintasz. A sütik, az ujjlenyomatozás és a követők a harmadik féltől származó oldalakon böngészőoldali probléma, nem keresésoldali. Ennek kezeléséhez használj egy megkeményített böngészőkonfigurációt.
A SearXNG szintén nem anonimizál téged az upstream keresőmotorral szemben, ha a VPS-ed csak a lekérdezéseidet küldi el neki; egy forgalmas példány összesített forgalma elrejti az egyes felhasználókat a zajban, de egy egyfelhasználós példány még mindig kinézhet egy felhasználó keresési mintázatának.
A Whoogle Search a könnyebb alternatíva. Ez egy Google-frontend, egyszerűbb, és egy dolgot csinál. A SearXNG több motort összesít, ami hasznosabb, ha a Google elhagyásának oka nem kifejezetten a Google volt. Válassz az alapján, hogy ténylegesen hány forrást akarsz.
Egy operatív megjegyzés egyfelhasználós példányokhoz. A SearXNG lekérdezéseket továbbít az upstream motorokhoz, és a Google rátakorlátozhatja a gyanús forgalmi mintázatokat. Egy egyetlen felhasználó ritkán üti ezt el. Egy kis nyilvános példány lehet, hogy igen. Ha a lekérdezések elkezdenek meghiúsulni, csökkentsd az upstream motorok számát, hangold a SearXNG limiter-beállításait, vagy támaszkodj jobban a kevésbé ellenséges upstream motorokra.
A szakasz fő tanulsága: A SearXNG a VPS-eden keresztül proxizza a kereséseidet, és kitartja őket a bejelentkezett keresési fiókodból. Csökkenti a közvetlen keresési profilalkotást, de egy privát egyfelhasználós példány nem hoz létre nagy anonimitási poolt.
4. réteg: a fájlok és fotók réteg (Nextcloud AIO + Immich)

A Nextcloud AIO a Nextcloud all-in-one Docker-telepítése, és a legkisebb ellenállás útja egy működő fájlszinkron-, naptár-, névjegy- és dokumentum-együttműködési szerverhez.
Az Immich a fotók megfelelője: idővonalas nézet, mobil automatikus feltöltés iOS-ről és Androidról, Google Photos-stílusú arcfelismerés a saját szervereden vagy választott ML-hostodon feldolgozva, és egy őszinte közösségi konszenzus, hogy ez a jelenleg szállított legjobban használható Google Photos helyettesítő.
Ezek nem könnyű alkalmazások. A Nextcloud AIO-t 4 GB / 2 vCPU alapként kell kezelni; az Immich gépi tanulása, a bélyegképgenerálás és az első könyvtárszkennelés azt fogja használni, amit adsz neki.
Amit ez a réteg kezel: felhőtárolási gyártói szkennelés, fotótartalom-felismerés, és felhőoldali feldolgozás, amely egy érzékeny személyes könyvtárat egy gyártói fiókon belül tart, valamint fiókszintű adatközpontosítás, amely a fájlokat, fotókat, keresést, helyelőzményt és identitásjeleket egy cég fiókja alatt tartja.
Ennek egy általad vezérelt szerverrel való helyettesítése megtöri azt a központosítást.
Amit nem kezel: a bájtok továbbra is egy a VPS-szolgáltatód által üzemeltetett tárolóköteten élnek. A nyugalmi titkosítás a te felelősséged, alapból nem az övék. Az eszközoldali kompromittálás külön probléma; ha a telefonod rootolt, a rajta lévő Nextcloud-kliens kitett, függetlenül attól, hol él a szerver.
Ha az egyetlen igényed az, hogy "tartsd ezeket a mappákat szinkronban az eszközeim között", a Syncthing az egyszerűbb eszköz. Peer-to-peer, nincs szerver középen, és ezt az egy feladatot jól végzi. Nem helyettesíti a naptár-, névjegy- és együttműködési funkciókat, amelyeket a Nextcloud nyújt; a fájlszinkron-részhalmaz helyettesítője.
Kifejezetten az Immichnél egy gyakorlati méretezési szabály számít. A Nextcloud AIO-t 4 GB / 2 vCPU alapként kell kezelni. Az Immich nem egy könnyű fotó-segédprogram, amint a gépi tanulás, a bélyegképek és egy első könyvtárszkennelés képbe kerül. Tervezz 6-8 GB RAM körül Immich-nehéz beállításokhoz, különösen migráció közben.
A telepítéshez van egy Nextcloud vs. ownCloud összehasonlításunk azoknak a felhasználóknak, akik még a kettő között választanak, és egy tágabb saját hostolt felhőplatformok webes felülettel áttekintés, ha a teret térképezed fel.
A szakasz fő tanulsága: A Nextcloud és az Immich kiviheti a fájlokat és fotókat a Google-stílusú felhőfiókokból, de ezek az első réteg ebben a stackben, amelynek komoly RAM-ra, tárhelyre, biztonsági mentési tervezésre és migrációs türelemre van szüksége.
5. réteg: a kommunikációs réteg (Mattermost vagy Rocket.Chat)

A Slack-munkaterületek kereshetők a Slack által. A Discord szkenneli a tartalmat ToS-sértésekért. A Microsoft Teams a chatrekordokat a bérlőd irányelvei alatt őrzi meg, amelyek olyan irányelvek, amelyeket az IT-szervezeted láthat.
Csapat- vagy családi chathez, amely egyik ilyen helyen sem szabad, hogy éljen, egy saját hostolt Mattermost vagy Rocket.Chat a szokásos válasz. Ez a réteg arról szól, hogy a csapatarchívumokat a SaaS-on kívül tartsd, nem a privát végpontok közötti chatről.
Amit ez a réteg kezel: gyártóoldali üzenetarchiválás, gyártóoldali tartalomszkennelés, és a hozzáférés elvesztése, amely akkor történik, amikor a gyártó úgy dönt, hogy a fiókod probléma. A csapatod üzenelőzménye a szervereden ül.
Amit nem kezel, és ez számít: a végpontok közötti titkosítást. A Mattermost és a Rocket.Chat alapból nem E2EE. A szerveradmin olvashatja az üzeneteket. A szerveradmin most te vagy, ami jobb, mintha egy SaaS-gyártó alkalmazottai lennének, de az elv továbbra is számít a csapatod fenyegetésmodelljéhez.
Egy-az-egyben biztonságos üzenetküldéshez a Signal a helyes válasz, nem egy saját hostolt szerver. Ha a kommunikációs rétegnek alapból E2EE-nek kell lennie, nézd meg a Matrixot/Elementet, vagy használd a Signalt a személyes chatekhez helyette. A saját hostolás gyártó nélkül oldja meg a csapatüzenetküldést; nem helyettesíti a Signalt személyes fenyegetésmodellekhez.
Mattermost kontra Rocket.Chat. Mindkettő érvényes. A Mattermost feszesebb, inkább enterprise-alakú, és alapból kevesebb opcionális funkciója van bekapcsolva. A Rocket.Chat szélesebb, több csatornatípust integrál, és nagyobb pluginökoszisztémája van. Bármelyik megfelel egy kis csapat vagy családi chat tipikus magánélet-stack használati esetéhez.
2026-os figyelmeztetés: Ellenőrizd a pontos ingyenes kiadást a Mattermost telepítése előtt. A Mattermost Entrynek 10 000 üzenetes előzménykorlátja van, míg a Team Edition elkerüli ezt a korlátot, de saját korlátai vannak. A Rocket.Chathez tervezz egy apró 1 GB-os VPS-nél többre, mert a MongoDB, a feltöltések és az integrációk többletterhelést adnak.
A szakasz fő tanulsága: Egy saját hostolt Mattermost vagy Rocket.Chat eltávolítja a csapatod chatarchívumát egy SaaS-gyártótól, de ha igazi végpontok közötti titkosításra van szükséged két ember között, a Signal még mindig a helyes eszköz.
Mit NE hostolj saját magad (és miért)
Néhány dolog, amely úgy néz ki, mintha egy magánélet-stackbe tartozna, nem tartozik oda. Ezek felsorolása része egy bizalomra méltó stack építésének.
Email. Ne hostold saját magad az emailt, ha még nem vagy tapasztalt Linux-üzemeltető, aki kifejezetten ezt akarja. A PrivacyGuidesnak van egy tiszta és jól ismert álláspontja erről, és ez a helyes: csak haladó felhasználóknak kellene saját levelezőszervert futtatniuk. Az okok nem technikai kíváncsiság. Az SPF-et, a DKIM-et és a DMARC-ot konfigurálni kell, és helyesen kell tartani.
Az IP-reputációt ki kell érdemelni és fenn kell tartani. A spamszűrés egy állandó állapot. A kézbesíthetőségi harc a Gmaillel nem egy beállítási lépés; ez egy folyamatos állapot. Mindenki másnak egy menedzselt, magánéletet tisztelő szolgáltató őszintén a helyes válasz erre a rétegre.
A Proton Mail, a Tuta (korábban Tutanota) és a Mailbox.org mind jó választás. Ez ennek a bejegyzésnek egy kemény szabálya: ne hostold saját magad az emailt általános közönségű magánélethez.
Pi-hole az otthoni hálózatod elsődleges DNS-feloldójaként, egy VPS-en. A Pi-hole nagyszerű. VPS-re tenni az egész háztartásod internetjének rekurzív feloldójaként egyetlen meghibásodási pont, amely megtöri az internetet mindenkinek a házban, amikor a VPS megakad. A Pi-hole egy otthoni Raspberry Pi-re való. Nem része ennek a stacknek.
Föderált közösségi média. A Mastodon, a Pleroma és a többi érdekes és szomszédos. Az elfogadottság a fő megszorítás, nem a magánélet. Néhány embernek a helyes válasz, de nem magja egy olyan magánélet-stacknek, amely a saját adataid Big Tech szervereiről való levételére fókuszál.
Anonimitási eszközök. Tor, I2P, mixnetek. Más fenyegetésmodell, más bejegyzés. Ha szükséged van rájuk, már tudod.
Az összefoglaló: a Proton Mail vagy egy társa egy menedzselt alternatíva egy konkrét rétegre, és ennek elismerése része egy használatra méltó stacknek. A saját hostolás ott segít, ahol azok a szolgáltatók nem fedik le a teljes munkafolyamatot: fotók, keresés, egyedi analitika és csapatchat. Az általános közönségű magánélethez az email az az egy réteg, amelyet ennek a stacknek ki kellene szerveznie.
A szakasz fő tanulsága: A legtöbb felhasználónak nem szabad saját magát hostolnia az emailt. Egy magánéletet tisztelő menedzselt szolgáltató, mint a Proton Mail, őszintén a jobb válasz arra az egy rétegre, és ennek elismerése része egy bizalomra méltó stack építésének.
Hol futtasd: VPS-méretezés és joghatóság

A méretezési kérdés nem absztrakt. Ennek a stacknek három gyakorlati alakja van: a könnyű magánélet-mag, a fájlréteg, és a fotó-nehéz verzió, amely az Immich gépi tanulását hozza a keverékbe. Az egyikről a következőre való ugrás nem kozmetikai. A fájlok, a bélyegképek, az arcfelismerés és az első könyvtármigráció azok, amik egy kis VPS-t egy rendes szerverbüdzsévé alakítanak.
| Telepítési alak | Tartalmazott alkalmazások | Reális VPS-alsó határ |
|---|---|---|
| Minimális életképes stack | WireGuard, Vaultwarden, SearXNG | 2 GB RAM / 1 vCPU |
| Nextcloud alap | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO | 4 GB RAM / 2 vCPU |
| Fájlok és fotók stack | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich | 8 GB RAM / 4 vCPU |
| Tárhely és biztonsági mentés megjegyzés | Főként Nextcloud és Immich | NVMe tárhely + szerveren kívüli biztonsági mentések |
A táblázatot így olvasd:
- Minimális stack lefedi a három legmagasabb hozamú réteget: hálózat, identitás és keresés.
- Nextcloud alap több mozgásteret igényel, mert a PHP, az adatbázismunka, a fájlindexelés, a szinkronfeladatok és a webes felület mind együtt fut.
- Fájlok és fotók stack nagyobb büdzsét igényel, mert az Immich gépi tanulása, a bélyegképek, az arcfelismerés és az első fotókönyvtár-szkennelés keményen megütheti a szervert migráció közben.
- Tárhely azért számít, mert a számítás csak a terv fele. A fájloknak és fotóknak helyre van szükségük a növekedéshez, a VPS-től távoli biztonsági mentésekre, és egy helyreállítási útra, amely még akkor is működik, ha a szerver eltűnt.
Aztán ott a joghatóság. 2025 júniusában a Microsoft a francia parlamentnek tett tanúvallomásában azt mondta, hogy nem tudja garantálni, hogy az EU-ban hostolt adatok védve lennének az amerikai jogi hozzáféréstől. Az a tanúvallomás kimozdította az adatszuverenitási érvet az elméletből, és a fősodratú szakpolitikai beszélgetésbe.
Az adatszuverenitást priorizáló felhasználóknak a cég joghatósága, az adatközpont helye, a szerződések, a titkosítási modell és a biztonsági mentés helye mind számít.
If A CLOUD Act kitettség része az aggálynak, ne kezeld egy EU-s adatközpontot önmagában a teljes válaszként. Egy nem-amerikai székhelyű, európai régióval rendelkező szolgáltató tisztább illeszkedés, mint egy amerikai székhelyű hiperskálázó EU-s régiója, de ez még mindig nem teszi az adatokat jogilag érinthetetlenné.
A figyelmeztetés: a joghatóság súrlódás, nem sebezhetetlenség. Egy német bírósági végzés továbbra is bírósági végzés. Egy holland is. Egy svájci jogi kérelem is. Az európai hostolás csökkentheti néhány közvetlen kitettséget az amerikai székhelyű felhőszolgáltatókkal szemben, és hozzáadhat helyi jogi eljárást, de nem teszi az adatokat jogilag érinthetetlenné.
A legtöbb olvasó fenyegetésmodelljéhez a hozzáadott súrlódás hasznos. Nem varázspajzs.
A szakasz fő tanulsága: A könnyű stack futhat egy kis VPS-en, de a fájlok és fotók megváltoztatják a büdzsét. Használj 4 GB / 2 vCPU-t Nextcloud-csak alapként, és tervezz inkább 8 GB / 4 vCPU közelébe egy fotó-nehéz Immich beállításhoz. A Cloudzy Marketplace csökkenti a beállítási erőfeszítést a mag alkalmazásokhoz, miközben a joghatóság jogi súrlódást ad, nem láthatatlanságot.
Hogyan telepítsd a stacket anélkül, hogy a beállítást projekté változtatnád
Minden réteget kézzel felépíthetsz. Ez rendben van, ha a beállítási munka a vonzerő része. A legtöbb olvasónak nem az. Ennek a stacknek a lényege az, hogy elszakadj a Big Tech adatgravitációjától, nem az, hogy egy hetet tölts a Docker, a portok, a DNS és a szervizfájlok hibakeresésével, mielőtt az első alkalmazás egyáltalán elindulna.
Az alacsonyabb súrlódású út az, hogy egy működő VPS-képből indulsz, és onnan keményítesz. A Cloudzy Marketplace egykattintásos VPS-képeket tartalmaz a WireGuardhoz, a Vaultwardenhez, a SearXNG-hez, a Nextcloud AIO-hoz és más saját hostolt eszközökhöz, így az alaptelepítés nem az a rész, amely felemészti a hétvégét.
A munka, amely továbbra is számít, az a munka, amelyet egyetlen marketplace sem tud elvégezni helyetted: DNS, tűzfalszabályok, biztonsági mentések, hozzáférés-vezérlések, frissítések és helyreállítási tesztelés.
Az alatta lévő szerver is továbbra is számít. Ez a stack tárhely, hálózat, régióválasztás és mozgástér, nem csak alkalmazásnevek egy táblázatban. A Cloudzy NVMe-alapú VPS-infrastruktúrát, teljes root-hozzáférést, 13 régiót, 40 Gbps hálózatot, 99,95%-os rendelkezésre állást és egy 14 napos pénzvisszafizetési időszakot ad neked.
Kezdj kicsiben a WireGuardhoz, a Vaultwardenhez és a SearXNG-hez. Lépj feljebb a Nextcloudhoz. Tervezz komolyabban az Immichhez, amint a gépi tanulás, a bélyegképek és a fotómigráció képbe kerül.
Hogyan kezdj hozzá
Öt réteg, mindegyik egy konkrét fenyegetést kezel. Egyikük sem állítja, hogy láthatatlanná tesz. Mindegyikük csökkent egy konkrét kereskedelmi adatkitettséget, amelyet jelenleg alapból elfogadsz.
Válaszd ki azt az egy réteget, amely a legkonkrétabb jelenlegi fájdalmadat kezeli. Ha valaha is megnyitottál egy incidensértesítő emailt, az az identitásréteg. Ha észrevetted, hogy hirdetések követnek olyan oldalakon át, amelyeket sosem látogattál meg, az a keresési réteg. Telepítsd azt az egyet. Az architektúra skálázódik. A kezdés döntésének nem kell.
Bármely egyetlen réteg beállítása legfeljebb egy hétvégét vesz igénybe. A konfigurációs fájlok rövidek. Nincs ok arra, hogy ennél bonyolultabb legyen.
Gyakran ismételt kérdések
A VPS-en való saját hostolás ténylegesen megvédi a magánéletemet, vagy csak egy másik gyártóban bízom?
Igen, ehhez a fenyegetésmodellhez. Eltolja a bizalmat a felhasználói adatokat pénzzé tevő SaaS-gyártóktól egy infrastruktúrát áruló VPS-szolgáltató felé. Ez csökkenti a kereskedelmi kitettséget és a szolgáltatások közötti profilalkotást, de nem rejti el a VPS-metaadatokat, az internetszolgáltatói kapcsolati rekordokat, a kompromittált eszközöket vagy az állami szintű megfigyelést.
Mi a minimális saját hostolt magánélet-stack, amellyel kezdenem kellene?
Kezdd a WireGuarddal, a Vaultwardennel és a SearXNG-vel. Ezek lefedik a hálózati láthatóságot, a jelszógyártói incidenskockázatot és a bejelentkezett keresési profilalkotást egy 2 GB RAM-os VPS-en. Add hozzá a Nextcloudot később; az Immichet csak akkor add hozzá, ha több RAM-od, tárhelyed és biztonsági mentési fegyelmed van.
A Frankfurtban vagy Amszterdamban való hostolás ténylegesen jobb a magánélethez, mint az USA-ban?
Az európai régiók csökkenthetnek néhány közvetlen kitettséget az amerikai székhelyű szolgáltatókkal szemben, de nem teszik az adatokat jogilag érinthetetlenné. A cég joghatósága, az adatközpont helye, a szerződések, a titkosítás és a biztonsági mentés helye mind számít. A német, holland vagy svájci jogi kérelmek továbbra is érvényesek lehetnek.
Saját magam hostoljam az emailem a magánélet érdekében?
Majdnem mindenkinek: nem. Az email saját hostolása SPF-et, DKIM-et, DMARC-ot, IP-reputációt, spamszűrést és állandó kézbesíthetőségi munkát igényel. Használj egy menedzselt magánélet-szolgáltatót, mint a Proton Mail, a Tuta vagy a Mailbox.org. A PrivacyGuides a saját hostolt emailt csak haladó felhasználóknak ajánlja.
Mitől véd meg ténylegesen a WireGuard?
A WireGuard a forgalmat a VPS-eden keresztül irányítja, korlátozva azt, amit az internetszolgáltatód és a helyi hálózatod láthat. Nem rejti el a kimenő forgalmat a VPS-szolgáltató elől. Ők továbbra is láthatják a kapcsolati metaadatokat, a cél-IP-ket, az időzítést és a mennyiséget. Ez magánélet az internetszolgáltatóddal szemben, nem láthatatlanság.