Przejdź do treści głównej
50% zniżki wszystkie plany, oferta limitowana. Od $2.48/mo
21 min left
Bezpieczeństwo i sieci

Najlepszy pięciowarstwowy, samodzielnie hostowany stos prywatności

J Autor: Jonas 21 min czytania
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

W marcu 2025 roku Krebs on Security poinformował że amerykańscy śledczy federalni powiązali kradzież kryptowalut wartą 150 milionów dolarów bezpośrednio z naruszeniem LastPass z 2022 roku. Mechanizm był prosty: niektórzy klienci przechowywali frazy seed w LastPass Secure Notes, atakujący zdobyli zaszyfrowane kopie zapasowe sejfów, a słabe lub starsze zabezpieczenia sejfów pozwoliły złamać część zawartości offline.

Nauka nie polega na tym, że LastPass był wyjątkowo nieostrożny. Nauka polega na tym, że każde naruszenie, o którym czytasz, to czyjeś dane spieniężane, podczas gdy e-mail z przeprosinami leży w twojej skrzynce. Samodzielne hostowanie zmienia, kto może ci to zrobić z twoimi danymi. Nie zmienia faktu, że zawsze ktoś może.

Ten wpis jest dla czytelników, których model zagrożeń to komercyjne ujawnienie danych, czyli spieniężanie przez Big Tech i naruszenia u dostawców, a nie inwigilacja na poziomie państwowym, dziennikarstwo wysokiego ryzyka, aktywizm czy postępowania prawne. Architektura poniżej to pięciowarstwowy stos dla tego konkretnego modelu zagrożeń.

Krótka wersja

Ten stos ma pięć warstw. Każda warstwa usuwa jedną powszechną zależność od Big Tech, ale żadna z nich nie uczyni cię niewidzialnym.

  • Sieć: WireGuard zastępuje komercyjny VPN i ogranicza widoczność dla ISP lub sieci lokalnej.
  • Tożsamość: Vaultwarden zastępuje hostowane menedżery haseł i zmniejsza ryzyko naruszenia po stronie dostawcy.
  • Wyszukiwanie: SearXNG zmniejsza profilowanie wyszukiwań, przepuszczając zapytania przez twój VPS i trzymając je z dala od twojego zalogowanego konta wyszukiwania.
  • Pliki i zdjęcia: Nextcloud AIO i Immich zastępują Google Drive i Google Photos, ograniczając skanowanie treści w chmurze i łączenie danych między produktami.
  • Komunikacja zespołowa: Mattermost lub Rocket.Chat przenoszą historię czatu zespołowego poza Slack, Discord lub Teams.
  • Główne ograniczenia: Twój dostawca VPS wciąż widzi metadane infrastruktury, twój ISP wciąż widzi, że łączysz się ze swoim serwerem, a ten stos nie jest zbudowany pod przeciwników na poziomie państwowym.
  • Uwaga o jurysdykcji: Hosting w UE wzmacnia argument suwerenności danych, ale nie jest magiczną tarczą.

Samodzielne hostowanie przesuwa zaufanie, nie usuwa go

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Istnieje długotrwała dyskusja na Hacker News, i na pierwszy rzut oka jest słuszna: "samodzielne hostowanie na VPS nie rozwiązuje prywatności, po prostu ufasz innemu dostawcy". Każdy, kto projektuje architekturę prywatności, powinien zmierzyć się z tym wprost, a nie obejść to dookoła. Szczera odpowiedź jest taka, że przesunięcie zaufania jest asymetryczne. Nie jest równoważne.

Zacznij od tego, co samodzielne hostowanie zmniejsza. Modelem biznesowym twojego dostawcy SaaS nie jest już wydobywanie twoich danych, bo tego dostawcy już nie ma. Ryzyko naruszenia po stronie dostawcy zmienia kształt: sejf Vaultwarden jest szyfrowany po stronie klienta, ale usługi czytelne dla serwera, jak Nextcloud, Mattermost i Rocket.Chat, wciąż wymagają właściwego utwardzenia, kopii zapasowych i kontroli dostępu.

Nauka z LastPass nie polegała na tym, że szyfrowanie sejfu nigdy nie istniało. Polegała na tym, że skradzione zaszyfrowane kopie zapasowe sejfów, niezaszyfrowane metadane, starsze ustawienia KDF i słabe hasła główne stworzyły ścieżkę łamania offline. Profilowanie behawioralne między usługami też się kurczy, bo jest mniej danych z różnych usług, które jedna firma mogłaby złożyć w całość. Uwiązanie do subskrypcji znika.

Teraz to, czego samodzielne hostowanie nie eliminuje. Hypervisor twojego dostawcy VPS może w zasadzie odczytać pamięć twojej maszyny wirtualnej. Twój dostawca VPS widzi metadane na poziomie infrastruktury: z jakimi adresami IP się łączysz, kiedy i ile danych przepływa.

Twój ISP wciąż widzi, że łączysz się ze swoim serwerem. Wnioski prawne związane z jurysdykcją wciąż obowiązują na poziomie dostawcy VPS, a nakaz sądowy to wciąż nakaz sądowy. Skompromitowany VPS, aplikacja, baza danych lub konto administratora wciąż mogą ujawnić dane.

Liczy się rachunek zaufania. Dostawca VPS ma mniejszą komercyjną motywację do wydobywania twoich danych niż Google czy Meta, bo modelem biznesowym jest miesięczna opłata, a nie twoje dane. Dostawca VPS ma mniej zagregowanych danych o tobie, czyli twój jeden serwer, a nie twoją historię wyszukiwań, historię lokalizacji i skrzynkę odbiorczą razem wzięte.

W UE dostawca działa pod RODO i konkretnymi warunkami umownymi. Nic z tego nie czyni VPS bezpieczniejszym niż Google w każdym wymiarze. To inny model zagrożeń z innym profilem ryzyka, a dla modelu zagrożeń, którym zajmuje się ten wpis, to znacząca poprawa.

Jest jeszcze jedno rozróżnienie warte precyzji. Prywatność to "oni nie wiedzą, co robię". Anonimowość to "oni nie wiedzą, że to ja to robię". Samodzielne hostowanie na komercyjnym VPS poprawia prywatność wobec dostawców SaaS i platform zewnętrznych.

Nie daje ci anonimowości wobec twojego dostawcy VPS. Jeśli potrzebujesz anonimowości, używasz Tora, a nie VPS, i reszta tego wpisu jest złym narzędziem.

Kluczowy wniosek z sekcji: VPS przesuwa twoje zaufanie z dostawcy SaaS, którego modelem biznesowym jest spieniężanie twoich danych, na dostawcę infrastruktury, którego modelem biznesowym jest sprzedaż ci serwera. Dla modelu zagrożeń większości czytelników to znacząca poprawa, ale to nie niewidzialność.

Pięciowarstwowy stos w skrócie

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Pięć warstw, wdrażanych w tej kolejności: sieć, tożsamość, wyszukiwanie, pliki, komunikacja. Każda zajmuje się odrębnym zagrożeniem. Możesz wdrażać je etapami i możesz pomijać warstwy, które cię nie dotyczą. Model jest bardziej użyteczny niż lista aplikacji, bo skaluje się z twoimi obawami, a nie z liczbą usług działających na serwerze.

WarstwaRekomendowana aplikacjaZastępujeChroni przedNIE chroni przedMinimum RAM
SiećWireGuardKomercyjny VPNObserwatorami ISP i sieci lokalnej, atakującymi w publicznym Wi-FiDostawca VPS widzący twój ruch wychodzący, wycieki DNS bez konfiguracjiPoniżej 100 MB
TożsamośćVaultwardenLastPass, 1Password (hostowane)Naruszeniami haseł po stronie dostawcy, ponownym użyciem poświadczeńSłabym hasłem głównym, brakiem 2FA, phishingiem, kompromitacją urządzeniaPoniżej 200 MB
WyszukiwanieSearXNGGoogle Search, BingProfilowaniem zapytań wyszukiwania, targetowaniem reklam na podstawie zapytańŚledzeniem na stronach, które faktycznie odwiedzasz, fingerprintingiem przeglądarki~250 MB
Pliki i zdjęciaNextcloud AIO + ImmichGoogle Drive, Google PhotosSkanowaniem treści przez dostawcę chmury, łączeniem danych między produktamiWolumenami pamięci VPS (szyfrowanie w spoczynku jest po twojej stronie), kompromitacją po stronie urządzenia4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
KomunikacjaMattermost lub Rocket.ChatSlack, Discord (użycie zespołowe)Archiwizacją wiadomości po stronie dostawcy i skanowaniem treściSzyfrowaniem end-to-end (te narzędzia nie są domyślnie E2EE)Mattermost: minimum 2 GB; Rocket.Chat: 4 GB+

Kluczowy wniosek z sekcji: Zacznij od WireGuard, Vaultwarden i SearXNG, jeśli chcesz najlżejszego stosu prywatności. Dodaj Nextcloud, Immich i czat zespołowy dopiero, gdy będziesz gotów na wyższe zużycie RAM, planowanie pamięci, kopie zapasowe i więcej pracy administracyjnej.

Warstwa 1: warstwa sieciowa (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

Plik konfiguracyjny WireGuard dla typowej konfiguracji jednego użytkownika ma dwanaście linii. Jego handshake kończy się w jednej rundzie i używa frameworka protokołu Noise. Moduł jądra jest w głównej gałęzi Linuksa od 5.6, co oznacza, że protokół, który wdrażasz w 2026 roku, to ten sam, który był audytowany i stabilny od lat. To właściwy domyślny wybór.

Czym zajmuje się ta warstwa: obserwatorami ISP i sieci lokalnej, którzy w przeciwnym razie widzieliby każdą domenę, z którą się łączysz, atakującymi w publicznym Wi-Fi oraz ujawnianiem twojego domowego IP każdej usłudze, którą odwiedzasz. Twój ruch wychodzi z twojego VPS, a nie z twojego mieszkania.

Czym się nie zajmuje: widokiem twojego dostawcy VPS na twój ruch wychodzący. Widzi on, z czym łączy się twój punkt końcowy VPN, kiedy i ile. WireGuard ukrywa ruch przed twoim ISP. Nie ukrywa ruchu przed serwerem, który obsługuje wyjście.

Wycieki DNS to też osobny problem i nie są obsługiwane automatycznie; musisz skierować swoich klientów VPN na resolver, któremu ufasz. Uruchom Unbound na tym samym VPS albo użyj zaufanego upstreamu przez DoT lub DoH. Pełne blokowanie reklam na poziomie DNS z Pi-hole to osobny temat i dla większości użytkowników nie jest właściwe do łączenia z wyjściem VPN (więcej o tym poniżej).

WireGuard kontra alternatywy, w skrócie. OpenVPN wciąż działa. Handshake jest większy, ślad metadanych większy, a przepustowość niższa. Nie ma powodu, by wybierać go do nowego wdrożenia, chyba że konkretnie potrzebujesz funkcji, której WireGuard nie oferuje.

Tailscale to inne narzędzie: to siatka typu mesh bez konfiguracji zbudowana na WireGuard, doskonała do spinania razem twoich własnych samodzielnie hostowanych usług na różnych maszynach. To nie to, czego chcesz jako wyjścia prywatności do internetu, bo płaszczyzna koordynacji jest hostowana przez Tailscale.

Uwaga: Zmiana domyślnego portu 51820/UDP może ograniczyć skany niskim nakładem, ale nie sprawi, że WireGuard będzie wyglądał jak zwykły ruch HTTPS, ani nie ominie poważnego filtrowania. Traktuj to jako ograniczenie skanów, a nie ukrycie.

Do wdrożenia mamy krok po kroku przewodnik konfiguracji WireGuard dla Ubuntu który pasuje do tej architektury.

Kluczowy wniosek z sekcji: WireGuard na twoim VPS daje ci prywatne wyjście sieciowe, którego twój ISP nie może przejrzeć, ale nie ukrywa twojego ruchu przed dostawcą VPS, który obsługuje to wyjście.

Warstwa 2: warstwa tożsamości (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden działa w mniej niż 200 MB RAM. To reimplementacja API Bitwarden w Rust, zgodna z każdym oficjalnym klientem Bitwarden (rozszerzenia przeglądarki, aplikacje desktopowe, aplikacje mobilne), i nie wymaga ciężkiego obrazu referencyjnego serwera Bitwarden. Dla pojedynczego użytkownika lub gospodarstwa domowego to właściwy rozmiar.

Czym zajmuje się ta warstwa: naruszeniami haseł po stronie dostawcy, jak awaria w stylu LastPass, gdzie zawartość sejfów wyciekła i ostatecznie została odszyfrowana offline. Ponowne użycie poświadczeń między usługami staje się mechanicznie trudniejsze, gdy masz menedżera haseł, którego faktycznie używasz. Agregacja profilu tożsamości między usługami spada, bo żadna strona trzecia nie widzi tej listy.

Czym się nie zajmuje: twoim własnym OpSec. Słabe hasło główne, brak 2FA na sejfie lub udany atak phishingowy na ciebie całkowicie pokonują tę warstwę. Skompromitowane urządzenie z zalogowanym rozszerzeniem przeglądarki pokonuje ją jeszcze bardziej. Vaultwarden to sejf, a nie substytut podstaw.

Jest jedno ostrzeżenie operacyjne, które liczy się bardziej niż jakiekolwiek inne w tym stosie. Samodzielne hostowanie menedżera haseł oznacza, że odpowiadasz za kopie zapasowe. VPS, który zawiedzie w złym momencie, albo serwer, który przypadkiem wyczyścisz, zablokuje ci dostęp do każdego konta, które chroni ta warstwa.

XDA Developers również opisał to ryzyko bezpośrednio, ostrzegając, że samodzielnie hostowany menedżer haseł może zablokować ci dostęp do ważnych kont, jeśli planowanie dostępu, kopii zapasowych lub odzyskiwania zawiedzie.

Ostrzeżenie: Uruchom automatyczne, szyfrowane kopie zapasowe katalogu danych Vaultwarden. Trzymaj zaszyfrowany eksport offline, przechowuj kody odzyskiwania osobno i testuj przywracanie na zapasowym urządzeniu lub tymczasowym kontenerze. Nie polegaj na pojedynczej kopii zapasowej VPS. To nie jest opcjonalne. To cena wyjęcia sejfu z infrastruktury dostawcy.

Jeśli będziesz później centralizować pojedyncze logowanie w wielu samodzielnie hostowanych usługach, Authentik to dostawca tożsamości open source, na którym większość ludzi ostatecznie ląduje. To zaawansowana warstwa i jest poza zakresem podstawowego stosu.

Do wdrożenia nasz przewodnik samodzielnego hostowania Vaultwarden to towarzysz wdrożenia. Aby głębiej spojrzeć na krajobraz menedżerów haseł, zobacz nasz przewodnik po najlepszych samodzielnie hostowanych menedżerach haseł.

Kluczowy wniosek z sekcji: Vaultwarden wynosi twój sejf haseł poza podatną na naruszenia infrastrukturę dostawcy, ale przerzuca na ciebie ciężar kopii zapasowych i odzyskiwania, a ten ciężar jest realny.

Warstwa 3: warstwa wyszukiwania i przeglądania (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Instancja SearXNG odbiera twoje zapytanie, rozsyła je do silników upstream (Google, Bing, DuckDuckGo, inne, które włączysz), usuwa część identyfikujących parametrów i zwraca ujednoliconą stronę wyników.

Twoje zapytania docierają do Google, ale docierają do Google jako zapytania z twojego VPS, a nie z twojego zalogowanego konta wyszukiwania. Instancja jednego użytkownika nie tworzy dużej puli anonimowości, więc silniki upstream wciąż mogą kojarzyć wzorce zapytań z tym IP VPS.

Czym zajmuje się ta warstwa: profilowaniem zapytań wyszukiwania, behawioralnym targetowaniem reklam powiązanym z twoją zalogowaną historią wyszukiwań oraz długą pamięcią konta wyszukiwania. Problem "dlaczego widzę reklamy rzeczy, której szukałem wczoraj" jest zmniejszony na poziomie konta wyszukiwania.

Czym się nie zajmuje: śledzeniem przez strony, na które faktycznie klikasz. Ciasteczka, fingerprinting i trackery na stronach zewnętrznych to problem po stronie przeglądarki, a nie po stronie wyszukiwania. Aby się tym zająć, użyj utwardzonej konfiguracji przeglądarki.

SearXNG też nie anonimizuje cię wobec silnika wyszukiwania upstream, jeśli twój VPS wysyła do niego tylko twoje zapytania; zagregowany ruch z ruchliwej instancji ukrywa pojedynczych użytkowników w szumie, ale instancja jednego użytkownika wciąż może wyglądać jak wzorzec wyszukiwania jednego użytkownika.

Whoogle Search to lżejsza alternatywa. To nakładka na Google, prostsza i robiąca jedną rzecz. SearXNG agreguje wiele silników, co jest bardziej użyteczne, jeśli twój powód odejścia od Google nie dotyczył konkretnie Google. Wybieraj na podstawie tego, ilu źródeł faktycznie chcesz.

Jedna uwaga operacyjna dla instancji jednego użytkownika. SearXNG przekazuje zapytania do silników upstream, a Google może ograniczać tempo podejrzanych wzorców ruchu. Pojedynczy użytkownik rzadko na to trafia. Mała publiczna instancja może. Jeśli zapytania zaczną zawodzić, zmniejsz liczbę silników upstream, dostrój ustawienia limitera SearXNG lub oprzyj się bardziej na mniej wrogich silnikach upstream.

Kluczowy wniosek z sekcji: SearXNG przepuszcza twoje wyszukiwania przez twój VPS i trzyma je z dala od twojego zalogowanego konta wyszukiwania. Zmniejsza bezpośrednie profilowanie wyszukiwań, ale prywatna instancja jednego użytkownika nie tworzy dużej puli anonimowości.

Warstwa 4: warstwa plików i zdjęć (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO to wdrożenie all-in-one Nextcloud w Dockerze i najmniej oporna droga do działającego serwera synchronizacji plików, kalendarza, kontaktów i współpracy nad dokumentami.

Immich to odpowiednik dla zdjęć: widok osi czasu, automatyczne przesyłanie z urządzeń mobilnych z iOS i Androida, rozpoznawanie twarzy w stylu Google Photos przetwarzane na twoim własnym serwerze lub wybranym hoście ML oraz szczery konsensus społeczności, że jest to najbardziej użyteczne zastępstwo Google Photos dostępne obecnie.

To nie są lekkie aplikacje. Nextcloud AIO należy traktować jako bazę 4 GB / 2 vCPU; uczenie maszynowe Immich, generowanie miniatur i pierwsze skanowanie biblioteki wykorzystają to, co im dasz.

Czym zajmuje się ta warstwa: skanowaniem przez dostawcę pamięci chmurowej, rozpoznawaniem treści zdjęć i przetwarzaniem po stronie chmury, które trzymają wrażliwą osobistą bibliotekę wewnątrz konta dostawcy, oraz centralizacją danych na poziomie konta, która trzyma pliki, zdjęcia, wyszukiwania, historię lokalizacji i sygnały tożsamości pod jednym kontem firmowym.

Zastąpienie tego serwerem, który kontrolujesz, łamie tę centralizację.

Czym się nie zajmuje: bajty wciąż żyją na wolumenie pamięci, którym zarządza twój dostawca VPS. Szyfrowanie w spoczynku jest twoją odpowiedzialnością, a nie jego domyślnie. Kompromitacja po stronie urządzenia to osobny problem; jeśli twój telefon ma roota, klient Nextcloud na nim jest narażony niezależnie od tego, gdzie żyje serwer.

Jeśli twoją jedyną potrzebą jest "trzymaj te foldery zsynchronizowane między moimi urządzeniami", Syncthing to prostsze narzędzie. Jest peer-to-peer, nie ma serwera pośrodku i robi to jedno zadanie dobrze. Nie jest zastępstwem dla funkcji kalendarza, kontaktów i współpracy, które zapewnia Nextcloud; jest zastępstwem dla podzbioru synchronizacji plików.

Dla samego Immich liczy się jedna praktyczna zasada doboru rozmiaru. Nextcloud AIO należy traktować jako bazę 4 GB / 2 vCPU. Immich nie jest lekkim dodatkiem do zdjęć, gdy w grę wchodzą uczenie maszynowe, miniatury i pierwsze skanowanie biblioteki. Planuj około 6–8 GB RAM dla konfiguracji mocno opartych na Immich, zwłaszcza podczas migracji.

Do wdrożenia mamy porównanie Nextcloud vs ownCloud dla użytkowników, którzy wciąż wybierają między tymi dwoma, oraz szerszy przegląd samodzielnie hostowanych platform chmurowych z interfejsem webowym jeśli badasz tę przestrzeń.

Kluczowy wniosek z sekcji: Nextcloud i Immich potrafią wynieść pliki i zdjęcia poza konta chmurowe w stylu Google, ale są pierwszą warstwą w tym stosie, która potrzebuje poważnego RAM, pamięci, planowania kopii zapasowych i cierpliwości przy migracji.

Warstwa 5: warstwa komunikacji (Mattermost lub Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Przestrzenie robocze Slacka są przeszukiwalne przez Slacka. Discord skanuje treści pod kątem naruszeń ToS. Microsoft Teams przechowuje zapisy czatów zgodnie z politykami twojego tenanta, czyli politykami, które widzi twój dział IT.

Dla czatu zespołowego lub rodzinnego, który nie powinien żyć w żadnym z tych miejsc, samodzielnie hostowany Mattermost lub Rocket.Chat to standardowa odpowiedź. Ta warstwa dotyczy trzymania archiwów zespołowych poza SaaS, a nie prywatnego czatu end-to-end.

Czym zajmuje się ta warstwa: archiwizacją wiadomości po stronie dostawcy, skanowaniem treści po stronie dostawcy oraz utratą dostępu, która następuje, gdy dostawca uzna twoje konto za problem. Historia wiadomości twojego zespołu leży na twoim serwerze.

Czym się nie zajmuje, i to ma znaczenie: szyfrowaniem end-to-end. Mattermost i Rocket.Chat nie są domyślnie E2EE. Administrator serwera może czytać wiadomości. Administratorem serwera jesteś teraz ty, co jest lepsze niż to, by byli to pracownicy dostawcy SaaS, ale zasada wciąż ma znaczenie dla modelu zagrożeń twojego zespołu.

Do bezpiecznej komunikacji jeden na jeden Signal to właściwa odpowiedź, a nie samodzielnie hostowany serwer. Jeśli warstwa komunikacji musi być domyślnie E2EE, spójrz na Matrix/Element lub używaj Signala do prywatnych rozmów. Samodzielne hostowanie rozwiązuje komunikację zespołową bez dostawcy; nie zastępuje Signala dla osobistych modeli zagrożeń.

Mattermost kontra Rocket.Chat. Oba są poprawne. Mattermost jest bardziej zwarty, bardziej w kształcie enterprise i ma mniej opcjonalnych funkcji włączonych domyślnie. Rocket.Chat jest szerszy, integruje więcej typów kanałów i ma większy ekosystem wtyczek. Każdy nadaje się do typowego zastosowania stosu prywatności, czyli małego zespołu lub czatu rodzinnego.

Zastrzeżenie na 2026 rok: Sprawdź dokładną darmową edycję przed wdrożeniem Mattermost. Mattermost Entry ma limit historii 10 000 wiadomości, a Team Edition unika tego limitu, ale ma własne ograniczenia. Dla Rocket.Chat zaplanuj więcej niż mały VPS z 1 GB, bo MongoDB, przesyłane pliki i integracje dodają narzutu.

Kluczowy wniosek z sekcji: Samodzielnie hostowany Mattermost lub Rocket.Chat usuwa archiwum czatu twojego zespołu od dostawcy SaaS, ale jeśli potrzebujesz prawdziwego szyfrowania end-to-end między dwiema osobami, Signal wciąż jest właściwym narzędziem.

Czego NIE hostować samodzielnie (i dlaczego)

Niektóre rzeczy, które wyglądają, jakby należały do stosu prywatności, do niego nie należą. Ich wymienienie to część budowania stosu wartego zaufania.

E-mail. Nie hostuj samodzielnie e-maila, jeśli nie jesteś już doświadczonym operatorem Linuksa, który konkretnie tego chce. PrivacyGuides ma w tej sprawie jasne i dobrze znane stanowisko, i jest ono słuszne: tylko zaawansowani użytkownicy powinni uruchamiać własny serwer pocztowy. Powody to nie techniczna ciekawość. SPF, DKIM i DMARC trzeba skonfigurować i utrzymywać w poprawnym stanie.

Reputację IP trzeba wypracować i utrzymywać. Filtrowanie spamu to stały stan rzeczy. Walka o dostarczalność z Gmailem nie jest krokiem konfiguracji; to ciągły warunek. Dla wszystkich innych zarządzany dostawca szanujący prywatność jest naprawdę właściwą odpowiedzią dla tej warstwy.

Proton Mail, Tuta (dawniej Tutanota) i Mailbox.org to dobre wybory. To twarda zasada tego wpisu: nie hostuj samodzielnie e-maila dla prywatności dla ogółu odbiorców.

Pi-hole jako główny resolver DNS twojej sieci domowej, na VPS. Pi-hole jest świetny. Umieszczenie go na VPS jako rekursywnego resolvera dla internetu całego gospodarstwa domowego to pojedynczy punkt awarii, który psuje internet wszystkim w domu, gdy VPS się zacina. Pi-hole należy do Raspberry Pi w domu. Nie jest częścią tego stosu.

Sfederowane media społecznościowe. Mastodon, Pleroma i reszta są interesujące i pokrewne. Głównym ograniczeniem jest adopcja, a nie prywatność. Są właściwą odpowiedzią dla niektórych ludzi, ale nie są rdzeniem stosu prywatności skupionego na zabraniu twoich własnych danych z serwerów Big Tech.

Narzędzia anonimowości. Tor, I2P, mixnety. Inny model zagrożeń, inny wpis. Jeśli ich potrzebujesz, już to wiesz.

Podsumowanie: Proton Mail lub jego odpowiednik to zarządzana alternatywa dla jednej konkretnej warstwy, a uznanie tego jest częścią stosu wartego używania. Samodzielne hostowanie pomaga tam, gdzie ci dostawcy nie pokrywają całego przepływu pracy: zdjęcia, wyszukiwanie, własna analityka i czat zespołowy. Dla prywatności dla ogółu odbiorców e-mail to jedyna warstwa, którą ten stos powinien oddać na zewnątrz.

Kluczowy wniosek z sekcji: Większość użytkowników nie powinna samodzielnie hostować e-maila. Szanujący prywatność zarządzany dostawca, jak Proton Mail, jest naprawdę lepszą odpowiedzią dla tej jednej warstwy, a uznanie tego jest częścią budowania godnego zaufania stosu.

Gdzie to uruchomić: dobór VPS i jurysdykcja

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

Pytanie o rozmiar nie jest abstrakcyjne. Ten stos ma trzy praktyczne kształty: lekki rdzeń prywatności, warstwa plików oraz wersja mocno oparta na zdjęciach, która wprowadza do gry uczenie maszynowe Immich. Skok z jednego do następnego nie jest kosmetyczny. Pliki, miniatury, rozpoznawanie twarzy i migracja pierwszej biblioteki to to, co zamienia mały VPS w porządny budżet serwerowy.

Kształt wdrożeniaZawarte aplikacjeRealistyczne minimum VPS
Minimalny działający stosWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Baza NextcloudWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Stos plików i zdjęćWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Uwaga o pamięci i kopiach zapasowychGłównie Nextcloud i ImmichPamięć NVMe + kopie zapasowe poza serwerem

Czytaj tę tabelę tak:

  • Minimalny stos pokrywa trzy warstwy o najwyższym zwrocie: sieć, tożsamość i wyszukiwanie.
  • Baza Nextcloud potrzebuje więcej zapasu, bo PHP, praca bazy danych, indeksowanie plików, zadania synchronizacji i interfejs webowy działają razem.
  • Stos plików i zdjęć potrzebuje większego budżetu, bo uczenie maszynowe Immich, miniatury, rozpoznawanie twarzy i pierwsze skanowanie biblioteki zdjęć mogą mocno obciążyć serwer podczas migracji.
  • Pamięć ma znaczenie, bo moc obliczeniowa to tylko połowa planu. Pliki i zdjęcia potrzebują miejsca do wzrostu, kopii zapasowych z dala od VPS i ścieżki odzyskiwania, która wciąż działa, jeśli serwer zniknie.

Dalej jest jurysdykcja. W czerwcu 2025 roku Microsoft zeznał przed francuskim parlamentem że nie może zagwarantować, iż dane hostowane w UE będą chronione przed amerykańskim dostępem prawnym. To zeznanie przesunęło argument o suwerenności danych z teorii do głównego nurtu debaty politycznej.

Dla użytkowników priorytetyzujących suwerenność danych jurysdykcja firmy, lokalizacja centrum danych, umowy, model szyfrowania i lokalizacja kopii zapasowych, wszystko to ma znaczenie.

If CLOUD Act to część obaw związanych z ryzykiem, nie traktuj samego centrum danych w UE jako całej odpowiedzi. Dostawca z siedzibą poza USA z regionem europejskim pasuje czyściej niż region UE hyperscalera z siedzibą w USA, ale to wciąż nie czyni danych prawnie nietykalnymi.

Zastrzeżenie: Jurysdykcja to tarcie, a nie nietykalność. Niemiecki nakaz sądowy to wciąż nakaz sądowy. Holenderski też. Tak samo szwajcarski wniosek prawny. Hosting europejski może zmniejszyć część bezpośredniego ryzyka wobec dostawców chmury z siedzibą w USA i dodać lokalny proces prawny, ale nie czyni danych prawnie nietykalnymi.

Dla modelu zagrożeń większości czytelników to dodatkowe tarcie jest przydatne. Nie jest magiczną tarczą.

Kluczowy wniosek z sekcji: Lekki stos może działać na małym VPS, ale pliki i zdjęcia zmieniają budżet. Użyj 4 GB / 2 vCPU jako bazy tylko dla Nextcloud i planuj bliżej 8 GB / 4 vCPU dla konfiguracji mocno opartej na zdjęciach z Immich. Cloudzy Marketplace obniża nakład konfiguracji dla podstawowych aplikacji, a jurysdykcja dodaje tarcie prawne, nie niewidzialność.

Jak wdrożyć stos, nie zamieniając konfiguracji w cały projekt

Możesz zbudować każdą warstwę ręcznie. To w porządku, jeśli praca konfiguracyjna jest częścią przyjemności. Dla większości czytelników nie jest. Sensem tego stosu jest ucieczka od grawitacji danych Big Tech, a nie spędzenie tygodnia na debugowaniu Dockera, portów, DNS i plików usług, zanim w ogóle uruchomi się pierwsza aplikacja.

Ścieżką o mniejszym tarciu jest start z działającego obrazu VPS i utwardzanie od tego miejsca. Cloudzy Marketplace zawiera obrazy VPS jednym kliknięciem dla WireGuard, Vaultwarden, SearXNG, Nextcloud AIO i innych samodzielnie hostowanych narzędzi, więc podstawowe wdrożenie to nie ta część, która zjada weekend.

Praca, która wciąż ma znaczenie, to praca, której żaden marketplace nie zrobi za ciebie: DNS, reguły zapory, kopie zapasowe, kontrola dostępu, aktualizacje i testowanie odzyskiwania.

Serwer pod spodem też wciąż ma znaczenie. Ten stos to pamięć, sieć, wybór regionu i zapas, a nie tylko nazwy aplikacji w tabeli. Cloudzy daje ci infrastrukturę VPS opartą na NVMe, pełny dostęp root, 13 regionów, sieć 40 Gbps, 99,95% dostępności i 14-dniowy okres zwrotu pieniędzy.

Zacznij od małego dla WireGuard, Vaultwarden i SearXNG. Przejdź wyżej dla Nextcloud. Planuj poważniej dla Immich, gdy w grę wejdą uczenie maszynowe, miniatury i migracja zdjęć.

Jak zacząć

Pięć warstw, każda zajmująca się konkretnym zagrożeniem. Żadna z nich nie twierdzi, że uczyni cię niewidzialnym. Wszystkie zmniejszają konkretne komercyjne ujawnienie danych, które obecnie akceptujesz domyślnie.

Wybierz tę jedną warstwę, która zajmuje się twoim najbardziej konkretnym obecnym bólem. Jeśli kiedykolwiek otworzyłeś e-mail z powiadomieniem o naruszeniu, to warstwa tożsamości. Jeśli zauważyłeś reklamy podążające za tobą po stronach, których nigdy nie odwiedziłeś, to warstwa wyszukiwania. Wdróż tę jedną. Architektura się skaluje. Decyzja, by zacząć, nie musi.

Konfiguracja dowolnej pojedynczej warstwy zajmuje najwyżej weekend. Pliki konfiguracyjne są krótkie. Nie ma powodu, by było to bardziej skomplikowane niż to.

Często zadawane pytania

Czy samodzielne hostowanie na VPS naprawdę chroni moją prywatność, czy po prostu ufam innemu dostawcy?

Tak, dla tego modelu zagrożeń. Przesuwa zaufanie z dostawców SaaS, którzy spieniężają dane użytkowników, na dostawcę VPS sprzedającego infrastrukturę. To zmniejsza komercyjne ryzyko i profilowanie między usługami, ale nie ukrywa metadanych VPS, zapisów połączeń ISP, skompromitowanych urządzeń ani inwigilacji na poziomie państwowym.

Jaki jest minimalny samodzielnie hostowany stos prywatności, od którego powinienem zacząć?

Zacznij od WireGuard, Vaultwarden i SearXNG. Pokrywają one widoczność sieci, ryzyko naruszenia po stronie dostawcy haseł i profilowanie zalogowanych wyszukiwań na VPS z 2 GB RAM. Dodaj Nextcloud później; dodaj Immich dopiero, gdy będziesz mieć więcej RAM, pamięci i dyscypliny w kopiach zapasowych.

Czy hosting we Frankfurcie lub Amsterdamie jest faktycznie lepszy dla prywatności niż w USA?

Regiony europejskie mogą zmniejszyć część bezpośredniego ryzyka wobec dostawców z siedzibą w USA, ale nie czynią danych prawnie nietykalnymi. Jurysdykcja firmy, lokalizacja centrum danych, umowy, szyfrowanie i lokalizacja kopii zapasowych, wszystko to ma znaczenie. Niemieckie, holenderskie lub szwajcarskie wnioski prawne wciąż mogą obowiązywać.

Czy powinienem samodzielnie hostować swój e-mail dla prywatności?

Dla niemal każdego, nie. Samodzielne hostowanie e-maila wymaga SPF, DKIM, DMARC, reputacji IP, filtrowania spamu i ciągłej pracy nad dostarczalnością. Użyj zarządzanego dostawcy szanującego prywatność, takiego jak Proton Mail, Tuta lub Mailbox.org. PrivacyGuides zaleca samodzielnie hostowany e-mail tylko dla zaawansowanych użytkowników.

Przed czym właściwie chroni mnie WireGuard?

WireGuard kieruje ruch przez twój VPS, ograniczając to, co może zobaczyć twój ISP i sieć lokalna. Nie ukrywa ruchu wychodzącego przed dostawcą VPS. Wciąż może on widzieć metadane połączeń, docelowe adresy IP, czas i wolumen. To prywatność wobec twojego ISP, a nie niewidzialność.

Udostępnij

Więcej z bloga

Czytaj dalej.

Gotowy do wdrożenia? Od $2,48/mies.

Niezależna chmura od 2008 roku. AMD EPYC, NVMe, 40 Gbps. Zwrot pieniędzy w ciągu 14 dni.