Chuyển đến nội dung chính
Giảm 50% tất cả các gói, có thời hạn. Khởi điểm từ $2.48/mo
21 min left
Bảo mật và Mạng

Stack tự lưu trữ bảo mật năm-lớp tốt nhất

J Bởi Jonas 21 phút đọc
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

Vào tháng 3 năm 2025, Krebs on Security đưa tin rằng các nhà điều tra liên bang Mỹ đã liên kết một vụ trộm tiền điện tử trị giá 150 triệu đô la trực tiếp với vụ rò rỉ LastPass năm 2022. Cơ chế thì đơn giản: một số khách hàng lưu cụm từ hạt giống trong LastPass Secure Notes, kẻ tấn công lấy được các bản sao lưu kho được mã hóa, và các biện pháp bảo vệ kho yếu hoặc cũ hơn cho phép một số nội dung kho bị bẻ khóa ngoại tuyến.

Bài học không phải là LastPass cẩu thả một cách độc nhất. Bài học là mọi vụ rò rỉ bạn đọc được đều là dữ liệu của người khác đang bị kiếm tiền trong khi email xin lỗi nằm trong hộp thư đến của bạn. Tự lưu trữ thay đổi ai có thể làm điều đó với dữ liệu của bạn. Nó không thay đổi sự thật rằng luôn có ai đó có thể.

Bài viết này dành cho những độc giả mà mô hình mối đe dọa là phơi bày dữ liệu thương mại, nghĩa là việc kiếm tiền của Big Tech và các vụ rò rỉ từ nhà cung cấp, không phải giám sát cấp nhà nước, báo chí rủi ro cao, hoạt động xã hội, hay khám phá pháp lý. Kiến trúc bên dưới là một stack năm-lớp cho chính mô hình mối đe dọa đó.

Phiên bản ngắn gọn

Stack này có năm lớp. Mỗi lớp loại bỏ một sự phụ thuộc phổ biến vào Big Tech, nhưng không lớp nào khiến bạn vô hình.

  • Mạng: WireGuard thay thế một VPN thương mại và giới hạn khả năng quan sát của ISP hay mạng cục bộ.
  • Danh tính: Vaultwarden thay thế các trình quản lý mật khẩu được lưu trữ và giảm phơi bày trước rò rỉ phía nhà cung cấp.
  • Tìm kiếm: SearXNG giảm việc lập hồ sơ tìm kiếm bằng cách proxy các truy vấn qua VPS của bạn và giữ chúng ngoài tài khoản tìm kiếm đã đăng nhập.
  • File và ảnh: Nextcloud AIO và Immich thay thế Google Drive và Google Photos, cắt việc quét nội dung trên đám mây và việc ghép dữ liệu liên-sản-phẩm.
  • Liên lạc đội: Mattermost hoặc Rocket.Chat chuyển lịch sử chat đội khỏi Slack, Discord, hoặc Teams.
  • Các giới hạn chính: Nhà cung cấp VPS của bạn vẫn có thể thấy metadata hạ tầng, ISP của bạn vẫn có thể thấy rằng bạn kết nối tới máy chủ của mình, và stack này không được xây cho các đối thủ cấp nhà nước.
  • Lưu ý về thẩm quyền pháp lý: Lưu trữ tại EU củng cố lý lẽ về chủ quyền dữ liệu, nhưng nó không phải một tấm khiên thần kỳ.

Tự lưu trữ chuyển dịch lòng tin, nó không loại bỏ lòng tin

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

Có một cuộc tranh luận kéo dài trên Hacker News, và nó đúng ngay trên bề mặt: "tự lưu trữ trên một VPS không giải quyết quyền riêng tư, bạn chỉ tin một nhà cung cấp khác mà thôi." Bất cứ ai thiết kế một kiến trúc bảo mật nên đối diện trực tiếp với điều này thay vì né tránh. Câu trả lời trung thực là sự dịch chuyển lòng tin có tính bất đối xứng. Nó không tương đương.

Bắt đầu với cái mà tự lưu trữ làm giảm. Mô hình kinh doanh của nhà cung cấp SaaS của bạn không còn là khai thác dữ liệu của bạn, vì nhà cung cấp đó đã biến mất. Phơi bày trước rò rỉ phía nhà cung cấp đổi hình dạng: kho của Vaultwarden được mã hóa phía client, nhưng các dịch vụ máy-chủ-có-thể-đọc như Nextcloud, Mattermost và Rocket.Chat vẫn cần được củng cố, sao lưu và kiểm soát truy cập đúng cách.

Bài học LastPass không phải là việc mã hóa kho chưa từng tồn tại. Mà là các bản sao lưu kho được mã hóa bị đánh cắp, metadata không mã hóa, các cài đặt KDF cũ hơn, và mật khẩu chủ yếu tạo nên một lộ trình bẻ khóa ngoại tuyến. Việc lập hồ sơ hành vi xuyên các dịch vụ cũng thu nhỏ lại, vì có ít dữ liệu liên-dịch-vụ hơn để một công ty ghép nối. Sự khóa-chân vào thuê bao giảm đi.

Giờ là cái mà tự lưu trữ không loại bỏ. Về nguyên tắc, hypervisor của nhà cung cấp VPS của bạn có thể đọc bộ nhớ của máy ảo của bạn. Nhà cung cấp VPS của bạn thấy metadata cấp-hạ-tầng của bạn: bạn kết nối tới những IP nào, khi nào, và bao nhiêu dữ liệu được chuyển.

ISP của bạn vẫn thấy rằng bạn đang kết nối tới máy chủ của mình. Các yêu cầu pháp lý theo thẩm quyền vẫn áp dụng ở cấp nhà cung cấp VPS, và một lệnh tòa vẫn là một lệnh tòa. Một VPS, ứng dụng, cơ sở dữ liệu, hoặc tài khoản quản trị bị xâm phạm vẫn có thể phơi bày dữ liệu.

Phép toán về lòng tin mới là điều quan trọng. Một nhà cung cấp VPS có ít động cơ thương mại để khai thác dữ liệu của bạn hơn Google hay Meta, vì phí hằng tháng là mô hình kinh doanh, còn dữ liệu của bạn thì không. Một nhà cung cấp VPS có ít dữ liệu tổng hợp về bạn hơn, cụ thể là một máy chủ duy nhất của bạn, không phải lịch sử tìm kiếm, lịch sử vị trí và hộp thư đến của bạn gộp lại.

Ở EU, nhà cung cấp hoạt động dưới GDPR và các điều khoản hợp đồng cụ thể. Không điều nào trong số này khiến một VPS an toàn hơn Google ở mọi khía cạnh. Đó là một mô hình mối đe dọa khác với một hồ sơ phơi bày khác, và với mô hình mối đe dọa mà bài này đề cập, đó là một cải thiện có ý nghĩa.

Còn một sự phân biệt nữa đáng nói cho chính xác. Quyền riêng tư là "họ không biết tôi đang làm gì". Tính ẩn danh là "họ không biết người đang làm điều đó là tôi". Tự lưu trữ trên một VPS thương mại cải thiện quyền riêng tư trước các nhà cung cấp SaaS và các nền tảng bên thứ ba.

Nó không cho bạn tính ẩn danh trước nhà cung cấp VPS của bạn. Nếu bạn cần tính ẩn danh, bạn đang dùng Tor, không phải một VPS, và phần còn lại của bài này là công cụ sai.

Điểm rút ra chính của phần này: Một VPS chuyển lòng tin của bạn từ một nhà cung cấp SaaS có mô hình kinh doanh là kiếm tiền từ dữ liệu của bạn sang một nhà cung cấp hạ tầng có mô hình kinh doanh là bán cho bạn một máy chủ. Với mô hình mối đe dọa của hầu hết độc giả, đó là một cải thiện có ý nghĩa, nhưng nó không phải sự vô hình.

Tổng quan stack năm-lớp

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Năm lớp, triển khai theo thứ tự này: mạng, danh tính, tìm kiếm, file, liên lạc. Mỗi lớp giải quyết một mối đe dọa riêng biệt. Bạn có thể triển khai chúng theo từng giai đoạn, và bạn có thể bỏ qua các lớp không áp dụng với bạn. Mô hình này hữu ích hơn một danh sách ứng dụng vì nó co giãn theo mối quan tâm của bạn chứ không theo số dịch vụ đang chạy trên máy chủ.

LớpỨng dụng khuyến nghịThay thếBảo vệ trướcKHÔNG bảo vệ trướcMức RAM tối thiểu
MạngWireGuardVPN thương mạiISP và người quan sát mạng cục bộ, kẻ tấn công Wi-Fi công cộngNhà cung cấp VPS thấy lưu lượng đi ra của bạn, rò rỉ DNS trừ khi được cấu hìnhDưới 100 MB
Danh tínhVaultwardenLastPass, 1Password (lưu trữ trên đám mây)Rò rỉ mật khẩu phía nhà cung cấp, dùng lại thông tin đăng nhậpMật khẩu chủ yếu, không 2FA, lừa đảo, thiết bị bị xâm phạmDưới 200 MB
Tìm kiếmSearXNGGoogle Search, BingLập hồ sơ truy vấn tìm kiếm, nhắm quảng cáo dựa trên truy vấnTheo dõi trên các trang bạn thực sự ghé thăm, lấy dấu vân tay trình duyệt~250 MB
File và ảnhNextcloud AIO + ImmichGoogle Drive, Google PhotosQuét nội dung của nhà cung cấp đám mây, ghép dữ liệu liên-sản-phẩmCác ổ lưu trữ VPS (mã hóa lúc nghỉ là việc của bạn), thiết bị bị xâm phạm4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
Liên lạcMattermost hoặc Rocket.ChatSlack, Discord (dùng theo đội)Lưu trữ tin nhắn và quét nội dung phía nhà cung cấpMã hóa đầu-cuối (mặc định các cái này không phải E2EE)Mattermost: mức tối thiểu 2 GB; Rocket.Chat: 4 GB trở lên

Điểm rút ra chính của phần này: Hãy bắt đầu với WireGuard, Vaultwarden và SearXNG nếu bạn muốn stack bảo mật nhẹ nhất. Chỉ thêm Nextcloud, Immich và chat đội sau khi bạn sẵn sàng cho mức dùng RAM cao hơn, lên kế hoạch lưu trữ, sao lưu, và nhiều việc quản trị hơn.

Lớp 1: Lớp mạng (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

File cấu hình của WireGuard cho một thiết lập một-người-dùng điển hình dài mười hai dòng. Cú bắt tay của nó hoàn tất trong một lượt khứ hồi và dùng khung giao thức Noise. Module kernel đã có trong Linux mainline kể từ 5.6, nghĩa là giao thức bạn triển khai vào năm 2026 chính là cái đã được kiểm toán và ổn định nhiều năm. Đây là mặc định đúng đắn.

Cái mà lớp này giải quyết: các ISP và người quan sát mạng cục bộ vốn nếu không thì sẽ thấy mọi tên miền bạn kết nối tới, kẻ tấn công Wi-Fi công cộng, và việc IP nhà bạn bị phơi bày trước mọi dịch vụ bạn ghé thăm. Lưu lượng của bạn đi ra từ VPS thay vì từ căn hộ của bạn.

Cái mà nó không giải quyết: tầm nhìn của nhà cung cấp VPS về lưu lượng đi ra của bạn. Họ thấy điểm cuối VPN của bạn kết nối tới đâu, khi nào, và bao nhiêu. WireGuard giấu lưu lượng khỏi ISP của bạn. Nó không giấu lưu lượng khỏi máy chủ vận hành lối ra.

Rò rỉ DNS cũng là một vấn đề riêng và không được xử lý tự động; bạn phải trỏ các client VPN của mình tới một resolver bạn tin tưởng. Hãy chạy Unbound trên cùng VPS, hoặc dùng một upstream đáng tin qua DoT hoặc DoH. Chặn quảng cáo cấp-DNS đầy đủ với Pi-hole là một chủ đề riêng và không phải thứ phù hợp để kết hợp với một lối ra VPN cho hầu hết người dùng (sẽ nói thêm bên dưới).

WireGuard so với các lựa chọn khác, một cách ngắn gọn. OpenVPN vẫn hoạt động. Cú bắt tay lớn hơn, dấu chân metadata to hơn, và thông lượng thấp hơn. Không có lý do để chọn nó cho một triển khai mới trừ khi bạn cụ thể cần một tính năng mà WireGuard không có.

Tailscale là một công cụ khác: nó là một mạng lưới không-cấu-hình xây trên WireGuard và xuất sắc cho việc ghép nối các dịch vụ tự lưu trữ của riêng bạn qua nhiều máy. Nó không phải thứ bạn muốn như một lối ra VPN ra internet để bảo mật, vì mặt phẳng điều phối được lưu trữ bởi Tailscale.

Lưu ý: Đổi cổng mặc định 51820/UDP có thể giảm các lượt quét tốn-ít-công, nhưng nó không khiến WireGuard trông như lưu lượng HTTPS thông thường hay vượt qua sự lọc nghiêm túc. Hãy xem đó là giảm quét, không phải tàng hình.

Để triển khai, chúng tôi có một hướng dẫn thiết lập WireGuard cho Ubuntu từng bước đi cùng kiến trúc này.

Điểm rút ra chính của phần này: WireGuard trên VPS của bạn cho bạn một lối ra mạng riêng mà ISP của bạn không thể kiểm tra, nhưng nó không giấu lưu lượng của bạn khỏi nhà cung cấp VPS vận hành lối ra.

Lớp 2: Lớp danh tính (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden chạy trong dưới 200 MB RAM. Nó là một bản viết lại Bitwarden API bằng Rust, tương thích với mọi client Bitwarden chính thức (extension trình duyệt, ứng dụng desktop, ứng dụng di động), và nó không cần image tham chiếu máy chủ Bitwarden nặng nề. Với một người dùng đơn lẻ hoặc một hộ gia đình, đây là kích cỡ phù hợp.

Cái mà lớp này giải quyết: các vụ rò rỉ mật khẩu phía nhà cung cấp, như thất bại kiểu LastPass, nơi nội dung kho bị rò rỉ và cuối cùng bị giải mã ngoại tuyến. Việc dùng lại thông tin đăng nhập xuyên các dịch vụ trở nên khó hơn về mặt cơ học một khi bạn có một trình quản lý mật khẩu mà bạn thực sự dùng. Việc tổng hợp hồ sơ danh tính xuyên các dịch vụ giảm đi, vì không bên thứ ba nào thấy được danh sách.

Cái mà nó không giải quyết: OpSec của chính bạn. Một mật khẩu chủ yếu yếu, không 2FA trên kho, hoặc một cuộc tấn công lừa đảo thành công nhắm vào bạn sẽ đánh bại hoàn toàn lớp này. Một thiết bị bị xâm phạm với extension trình duyệt đã đăng nhập còn đánh bại nó triệt để hơn. Vaultwarden là một cái kho, không phải thứ thay thế cho những điều căn bản.

Có một cảnh báo vận hành quan trọng hơn bất cứ cái nào khác trong stack này. Tự lưu trữ trình quản lý mật khẩu nghĩa là bạn chịu trách nhiệm sao lưu. Một VPS hỏng vào thời điểm sai, hoặc một máy chủ bạn vô tình xóa, sẽ khóa bạn ra khỏi mọi tài khoản mà lớp này bảo vệ.

XDA Developers cũng đã đề cập trực tiếp đến rủi ro này, cảnh báo rằng một trình quản lý mật khẩu tự lưu trữ có thể khóa bạn ra khỏi các tài khoản quan trọng nếu việc truy cập, sao lưu, hoặc lên kế hoạch khôi phục thất bại.

Cảnh báo: Hãy chạy các bản sao lưu được mã hóa tự động cho thư mục dữ liệu của Vaultwarden. Giữ một bản xuất ngoại tuyến được mã hóa, lưu các mã khôi phục riêng, và thử khôi phục trên một thiết bị dự phòng hoặc container tạm thời. Đừng dựa vào một bản sao lưu VPS duy nhất. Đây không phải tùy chọn. Đây là cái giá của việc đưa kho ra khỏi hạ tầng của nhà cung cấp.

Nếu sau này bạn tập trung hóa đăng nhập một lần xuyên nhiều dịch vụ tự lưu trữ, Authentik là nhà cung cấp danh tính mã nguồn mở mà hầu hết mọi người cuối cùng chọn. Đó là một lớp nâng cao và nằm ngoài phạm vi của stack cốt lõi.

Để triển khai, hướng dẫn tự lưu trữ Vaultwarden của chúng tôi là bản đồng hành triển khai. Để có cái nhìn sâu hơn về bối cảnh trình quản lý mật khẩu, hãy xem hướng dẫn của chúng tôi về các trình quản lý mật khẩu tự lưu trữ tốt nhất.

Điểm rút ra chính của phần này: Vaultwarden chuyển kho mật khẩu của bạn ra khỏi hạ tầng nhà cung cấp dễ-bị-rò-rỉ, nhưng nó đặt gánh nặng sao lưu và khôi phục lên bạn, và gánh nặng đó là có thật.

Lớp 3: Lớp tìm kiếm và duyệt web (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Một instance SearXNG nhận truy vấn của bạn, phân tán nó tới các công cụ upstream (Google, Bing, DuckDuckGo, các cái khác bạn bật), loại bỏ một số tham số nhận dạng, và trả về một trang kết quả hợp nhất.

Các truy vấn của bạn đến được Google, nhưng chúng đến Google như các truy vấn từ VPS của bạn, không phải từ tài khoản tìm kiếm đã đăng nhập của bạn. Một instance một-người-dùng không tạo ra một bể ẩn danh lớn, nên các công cụ upstream vẫn có thể liên kết các mẫu truy vấn với IP VPS đó.

Cái mà lớp này giải quyết: việc lập hồ sơ truy vấn tìm kiếm, nhắm quảng cáo theo hành vi gắn với lịch sử tìm kiếm đã đăng nhập của bạn, và trí nhớ dài của một tài khoản tìm kiếm. Vấn đề "tại sao tôi thấy quảng cáo cho thứ tôi tìm hôm qua" được giảm ở cấp tài-khoản-tìm-kiếm.

Cái mà nó không giải quyết: việc theo dõi bởi các trang bạn thực sự nhấp vào. Cookie, lấy dấu vân tay, và các trình theo dõi trên các trang bên thứ ba là vấn đề phía trình duyệt, không phải phía tìm kiếm. Hãy dùng một cấu hình trình duyệt được củng cố để giải quyết điều đó.

SearXNG cũng không ẩn danh bạn trước công cụ tìm kiếm upstream nếu VPS của bạn chỉ gửi các truy vấn của bạn tới nó; lưu lượng tổng hợp từ một instance bận rộn giấu các người dùng đơn lẻ trong nhiễu, nhưng một instance một-người-dùng vẫn có thể trông giống mẫu tìm kiếm của một người dùng.

Whoogle Search là lựa chọn nhẹ hơn. Nó là một front-end của Google, đơn giản hơn, và làm một việc. SearXNG tổng hợp nhiều công cụ, vốn hữu ích hơn nếu lý do bạn rời Google không cụ thể là Google. Hãy chọn dựa trên việc bạn thực sự muốn bao nhiêu nguồn.

Một lưu ý vận hành cho các instance một-người-dùng. SearXNG chuyển tiếp truy vấn tới các công cụ upstream, và Google có thể giới hạn tốc độ với các mẫu lưu lượng đáng ngờ. Một người dùng đơn lẻ hiếm khi chạm tới điều này. Một instance công khai nhỏ thì có thể. Nếu các truy vấn bắt đầu thất bại, hãy giảm số công cụ upstream, tinh chỉnh các cài đặt giới hạn của SearXNG, hoặc dựa nhiều hơn vào các công cụ upstream ít thù địch hơn.

Điểm rút ra chính của phần này: SearXNG proxy các tìm kiếm của bạn qua VPS của bạn và giữ chúng ngoài tài khoản tìm kiếm đã đăng nhập của bạn. Nó giảm việc lập hồ sơ tìm kiếm trực tiếp, nhưng một instance một-người-dùng riêng tư không tạo ra một bể ẩn danh lớn.

Lớp 4: Lớp file và ảnh (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO là bản triển khai Docker tất-cả-trong-một của Nextcloud và là con đường ít kháng cự nhất để có một máy chủ đồng bộ file, lịch, danh bạ và cộng tác tài liệu hoạt động.

Immich là đối trọng về ảnh: chế độ xem dòng thời gian, tự động tải lên từ di động trên iOS và Android, nhận diện khuôn mặt kiểu Google Photos được xử lý trên chính máy chủ của bạn hoặc máy ML bạn chọn, và một sự đồng thuận trung thực của cộng đồng rằng nó là thứ thay thế Google Photos dùng được nhất hiện đang phát hành.

Đây không phải các ứng dụng nhẹ. Nextcloud AIO nên được xem như một mức nền 4 GB / 2 vCPU; máy học, tạo thumbnail và lần quét thư viện đầu tiên của Immich sẽ dùng hết những gì bạn cấp cho nó.

Cái mà lớp này giải quyết: việc quét của nhà cung cấp lưu trữ đám mây, nhận diện nội dung ảnh, và xử lý phía đám mây vốn giữ một thư viện cá nhân nhạy cảm bên trong một tài khoản nhà cung cấp, cùng việc tập trung hóa dữ liệu cấp-tài-khoản vốn giữ file, ảnh, tìm kiếm, lịch sử vị trí và các tín hiệu danh tính dưới một tài khoản công ty duy nhất.

Thay thế cái này bằng một máy chủ bạn kiểm soát phá vỡ sự tập trung hóa đó.

Cái mà nó không giải quyết: các byte vẫn nằm trên một ổ lưu trữ mà nhà cung cấp VPS của bạn vận hành. Mã hóa lúc nghỉ là trách nhiệm của bạn, không phải của họ theo mặc định. Thiết bị bị xâm phạm là một vấn đề riêng; nếu điện thoại của bạn bị root, client Nextcloud trên đó bị phơi bày bất kể máy chủ nằm ở đâu.

Nếu nhu cầu duy nhất của bạn là "giữ các thư mục này đồng bộ giữa các thiết bị của tôi", Syncthing là công cụ đơn giản hơn. Nó là ngang-hàng, không có máy chủ ở giữa, và làm một việc đó tốt. Nó không phải thứ thay thế cho các tính năng lịch, danh bạ và cộng tác mà Nextcloud cung cấp; nó là thứ thay thế cho phần con đồng-bộ-file.

Riêng với Immich, một quy tắc định cỡ thực tế quan trọng. Nextcloud AIO nên được xem như một mức nền 4 GB / 2 vCPU. Immich không phải một phần phụ ảnh nhẹ một khi máy học, thumbnail và lần quét thư viện đầu tiên bước vào bức tranh. Hãy lên kế hoạch quanh 6-8 GB RAM cho các thiết lập nặng-Immich, đặc biệt trong lúc di trú.

Để triển khai, chúng tôi có một so sánh Nextcloud vs ownCloud cho những người dùng vẫn đang chọn giữa hai cái, và một tổng quan rộng hơn về các nền tảng đám mây tự lưu trữ có giao diện web nếu bạn đang khảo sát lĩnh vực này.

Điểm rút ra chính của phần này: Nextcloud và Immich có thể chuyển file và ảnh ra khỏi các tài khoản đám mây kiểu Google, nhưng chúng là lớp đầu tiên trong stack này cần RAM, lưu trữ, lên kế hoạch sao lưu và sự kiên nhẫn di trú nghiêm túc.

Lớp 5: Lớp liên lạc (Mattermost hoặc Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

Các workspace Slack có thể được Slack tìm kiếm. Discord quét nội dung để tìm vi phạm điều khoản dịch vụ. Microsoft Teams giữ lại bản ghi chat theo các chính sách của tenant của bạn, vốn là các chính sách mà tổ chức IT của bạn có thể thấy.

Với chat đội hoặc gia đình không nên nằm ở bất kỳ nơi nào trong số đó, một Mattermost hoặc Rocket.Chat tự lưu trữ là câu trả lời tiêu chuẩn. Lớp này là về việc giữ kho lưu trữ của đội ra khỏi SaaS, không phải về chat đầu-cuối riêng tư.

Cái mà lớp này giải quyết: việc lưu trữ tin nhắn phía nhà cung cấp, việc quét nội dung phía nhà cung cấp, và việc mất quyền truy cập xảy ra khi nhà cung cấp quyết định tài khoản của bạn là một vấn đề. Lịch sử tin nhắn của đội bạn nằm trên máy chủ của bạn.

Cái mà nó không giải quyết, và điều này quan trọng: mã hóa đầu-cuối. Mattermost và Rocket.Chat mặc định không phải E2EE. Quản trị viên máy chủ có thể đọc tin nhắn. Quản trị viên máy chủ giờ là bạn, vốn tốt hơn việc đó là nhân viên của một nhà cung cấp SaaS, nhưng nguyên tắc này vẫn quan trọng với mô hình mối đe dọa của đội bạn.

Với nhắn tin bảo mật một-đối-một, Signal là câu trả lời đúng, không phải một máy chủ tự lưu trữ. Nếu lớp liên lạc bắt buộc phải là E2EE theo mặc định, hãy nhìn vào Matrix/Element hoặc dùng Signal cho các cuộc chat cá nhân. Tự lưu trữ giải quyết nhắn tin đội mà không cần nhà cung cấp; nó không thay thế Signal cho các mô hình mối đe dọa cá nhân.

Mattermost so với Rocket.Chat. Cả hai đều hợp lệ. Mattermost gọn hơn, có hình dạng doanh-nghiệp hơn, và có ít tính năng tùy chọn được bật theo mặc định hơn. Rocket.Chat rộng hơn, tích hợp nhiều loại kênh hơn, và có một hệ sinh thái plugin lớn hơn. Cái nào cũng ổn cho trường hợp dùng điển hình của một stack bảo mật là chat của một đội nhỏ hoặc gia đình.

Lưu ý 2026: Hãy kiểm tra phiên bản miễn phí chính xác trước khi triển khai Mattermost. Mattermost Entry có giới hạn lịch sử 10.000 tin nhắn, trong khi Team Edition tránh được giới hạn đó nhưng có các giới hạn riêng. Với Rocket.Chat, hãy dự trù hơn một VPS nhỏ 1 GB vì MongoDB, các lượt tải lên và tích hợp tạo thêm chi phí phụ.

Điểm rút ra chính của phần này: Một Mattermost hoặc Rocket.Chat tự lưu trữ chuyển kho chat của đội bạn ra khỏi một nhà cung cấp SaaS, nhưng nếu bạn cần mã hóa đầu-cuối thực sự giữa hai người, Signal vẫn là công cụ đúng.

Cái gì KHÔNG nên tự lưu trữ (và tại sao)

Một số thứ trông như thuộc về một stack bảo mật thì không. Liệt kê chúng là một phần của việc xây một stack đáng tin cậy.

Email. Đừng tự lưu trữ email nếu bạn chưa phải một người vận hành Linux có kinh nghiệm cụ thể muốn làm điều đó. PrivacyGuides có một lập trường rõ ràng và nổi tiếng về việc này, và đó là lập trường đúng: chỉ những người dùng nâng cao mới nên tự chạy máy chủ thư của mình. Lý do không phải là sự tò mò kỹ thuật. SPF, DKIM và DMARC phải được cấu hình và giữ đúng.

Danh tiếng IP phải được tạo dựng và duy trì. Lọc spam là một tình trạng thường trực. Cuộc chiến về khả năng phân phối với Gmail không phải một bước thiết lập; đó là một điều kiện diễn ra liên tục. Với mọi người khác, một nhà cung cấp được quản lý tôn trọng quyền riêng tư thực sự là câu trả lời đúng cho lớp này.

Proton Mail, Tuta (trước là Tutanota), và Mailbox.org đều là các lựa chọn tốt. Đây là một quy tắc cứng của bài này: đừng tự lưu trữ email cho quyền riêng tư của đại chúng.

Pi-hole làm bộ phân giải DNS chính cho mạng gia đình của bạn, trên một VPS. Pi-hole tuyệt vời. Đặt nó trên một VPS như bộ phân giải đệ quy cho toàn bộ internet của cả nhà là một điểm hỏng đơn lẻ làm sập internet cho mọi người trong nhà khi VPS trục trặc. Pi-hole thuộc về một Raspberry Pi ở nhà. Nó không phải một phần của stack này.

Mạng xã hội liên kết. Mastodon, Pleroma và những cái còn lại thì thú vị và liền kề. Sự chấp nhận là ràng buộc chính, không phải quyền riêng tư. Chúng là câu trả lời đúng cho một số người, nhưng không cốt lõi với một stack bảo mật tập trung vào việc đưa dữ liệu của chính bạn ra khỏi máy chủ của Big Tech.

Các công cụ ẩn danh. Tor, I2P, mixnet. Mô hình mối đe dọa khác, bài viết khác. Nếu bạn cần chúng, bạn đã biết rồi.

Tóm lại: Proton Mail hoặc một đối thủ ngang hàng là một lựa chọn được quản lý cho một lớp cụ thể, và thừa nhận điều đó là một phần của một stack đáng dùng. Tự lưu trữ giúp ở nơi các nhà cung cấp đó không bao phủ trọn quy trình: ảnh, tìm kiếm, phân tích tùy chỉnh và chat đội. Với quyền riêng tư của đại chúng, email là lớp duy nhất mà stack này nên thuê ngoài.

Điểm rút ra chính của phần này: Hầu hết người dùng không nên tự lưu trữ email. Một nhà cung cấp được quản lý tôn trọng quyền riêng tư như Proton Mail thực sự là câu trả lời tốt hơn cho riêng lớp đó, và thừa nhận điều đó là một phần của việc xây một stack đáng tin cậy.

Nơi để chạy nó: Định cỡ VPS và thẩm quyền pháp lý

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

Câu hỏi về định cỡ không trừu tượng. Stack này có ba hình dạng thực tế: lõi bảo mật nhẹ, lớp file, và phiên bản nặng-ảnh đưa máy học của Immich vào cuộc. Bước nhảy từ cái này sang cái kế không phải chuyện hình thức. File, thumbnail, nhận diện khuôn mặt và việc di trú thư viện đầu tiên là những thứ biến một VPS nhỏ thành một ngân sách máy chủ thực thụ.

Hình dạng triển khaiCác ứng dụng bao gồmMức VPS tối thiểu thực tế
Stack khả thi tối thiểuWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Nextcloud mức nềnWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Stack file và ảnhWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Lưu ý về lưu trữ và sao lưuChủ yếu Nextcloud và ImmichLưu trữ NVMe + sao lưu ngoài máy chủ

Hãy đọc bảng theo cách này:

  • Stack tối thiểu bao phủ ba lớp lợi-suất-cao nhất: mạng, danh tính và tìm kiếm.
  • Nextcloud mức nền cần thêm khoảng dư vì PHP, công việc cơ sở dữ liệu, lập chỉ mục file, các tác vụ đồng bộ, và giao diện web đều chạy cùng nhau.
  • Stack file và ảnh cần một ngân sách lớn hơn vì máy học của Immich, thumbnail, nhận diện khuôn mặt, và lần quét thư viện ảnh đầu tiên có thể đè nặng lên máy chủ trong lúc di trú.
  • Lưu trữ quan trọng vì tính toán chỉ là một nửa kế hoạch. File và ảnh cần chỗ để lớn lên, sao lưu cách xa VPS, và một lộ trình khôi phục vẫn hoạt động nếu máy chủ biến mất.

Rồi đến thẩm quyền pháp lý. Vào tháng 6 năm 2025, Microsoft đã điều trần trước Quốc hội Pháp rằng họ không thể đảm bảo dữ liệu lưu trữ tại EU sẽ được bảo vệ khỏi sự truy cập pháp lý của Mỹ. Lời điều trần đó đưa lập luận về chủ quyền dữ liệu ra khỏi lý thuyết và vào cuộc trò chuyện chính sách chính thống.

Với những người dùng ưu tiên chủ quyền dữ liệu, thẩm quyền pháp lý của công ty, vị trí trung tâm dữ liệu, hợp đồng, mô hình mã hóa và vị trí sao lưu đều quan trọng.

If CLOUD Act phơi bày là một phần của mối lo, đừng coi một trung tâm dữ liệu EU đơn thuần là toàn bộ câu trả lời. Một nhà cung cấp không-đặt-trụ-sở-tại-Mỹ với một khu vực châu Âu là một lựa chọn gọn hơn một khu vực EU của một hyperscaler đặt-trụ-sở-tại-Mỹ, nhưng điều đó vẫn không khiến dữ liệu trở nên bất khả xâm phạm về mặt pháp lý.

Điểm cần lưu ý: Thẩm quyền pháp lý là ma sát, không phải sự bất khả xâm phạm. Một lệnh tòa của Đức vẫn là một lệnh tòa. Của Hà Lan cũng vậy. Một yêu cầu pháp lý của Thụy Sĩ cũng thế. Lưu trữ ở châu Âu có thể giảm một số phơi bày trực tiếp trước các nhà cung cấp đám mây đặt-trụ-sở-tại-Mỹ và thêm quy trình pháp lý địa phương, nhưng nó không khiến dữ liệu trở nên bất khả xâm phạm về mặt pháp lý.

Với mô hình mối đe dọa của hầu hết độc giả, ma sát được thêm vào là hữu ích. Nó không phải một tấm khiên thần kỳ.

Điểm rút ra chính của phần này: Stack nhẹ có thể chạy trên một VPS nhỏ, nhưng file và ảnh thay đổi ngân sách. Hãy dùng 4 GB / 2 vCPU như một mức nền chỉ-Nextcloud, và lên kế hoạch gần 8 GB / 4 vCPU cho một thiết lập nặng-ảnh với Immich. Cloudzy Marketplace giảm công sức thiết lập cho các ứng dụng cốt lõi, trong khi thẩm quyền pháp lý thêm ma sát pháp lý, không phải sự vô hình.

Cách triển khai stack mà không biến thiết lập thành cả dự án

Bạn có thể tự xây từng lớp một cách thủ công. Điều đó ổn nếu công việc thiết lập là một phần của sức hấp dẫn. Với hầu hết độc giả, nó không phải vậy. Mục đích của stack này là thoát khỏi lực hút dữ liệu của Big Tech, không phải dành một tuần để gỡ lỗi Docker, cổng, DNS và các file dịch vụ trước khi ứng dụng đầu tiên kịp chạy.

Lộ trình ít-ma-sát hơn là bắt đầu từ một image VPS hoạt động và củng cố từ đó. Cloudzy Marketplace bao gồm các image VPS một-cú-nhấp cho WireGuard, Vaultwarden, SearXNG, Nextcloud AIO, và các công cụ tự lưu trữ khác, nên việc triển khai nền tảng không phải là phần ngốn hết cuối tuần.

Công việc vẫn quan trọng là công việc mà không marketplace nào có thể làm thay bạn: DNS, các quy tắc tường lửa, sao lưu, kiểm soát truy cập, cập nhật, và thử nghiệm khôi phục.

Máy chủ bên dưới cũng vẫn quan trọng. Stack này là lưu trữ, mạng, lựa chọn khu vực và khoảng dư, không chỉ là các tên ứng dụng trong một bảng. Cloudzy cho bạn hạ tầng VPS nền-NVMe, toàn quyền truy cập root, 13 khu vực, mạng 40 Gbps, uptime 99,95%, và một thời hạn hoàn tiền 14 ngày.

Hãy bắt đầu nhỏ cho WireGuard, Vaultwarden và SearXNG. Nâng lên cho Nextcloud. Lên kế hoạch nghiêm túc hơn cho Immich một khi máy học, thumbnail và di trú ảnh bước vào bức tranh.

Cách bắt đầu

Năm lớp, mỗi cái giải quyết một mối đe dọa cụ thể. Không cái nào tuyên bố khiến bạn vô hình. Tất cả chúng đều giảm sự phơi bày dữ liệu thương mại cụ thể mà bạn hiện đang chấp nhận theo mặc định.

Hãy chọn một lớp giải quyết nỗi đau cụ thể nhất hiện tại của bạn. Nếu bạn từng mở một email thông báo rò rỉ, đó là lớp danh tính. Nếu bạn từng để ý quảng cáo bám theo bạn qua các trang bạn chưa từng ghé thăm, đó là lớp tìm kiếm. Hãy triển khai cái đó. Kiến trúc co giãn được. Quyết định bắt đầu thì không cần phải vậy.

Việc thiết lập bất kỳ lớp đơn lẻ nào tốn nhiều nhất là một cuối tuần. Các file cấu hình thì ngắn. Không có lý do gì để nó phức tạp hơn thế này.

Câu hỏi thường gặp

Tự lưu trữ trên một VPS có thực sự bảo vệ quyền riêng tư của tôi không, hay tôi chỉ đang tin một nhà cung cấp khác?

Có, với mô hình mối đe dọa này. Nó chuyển lòng tin từ các nhà cung cấp SaaS kiếm tiền từ dữ liệu người dùng sang một nhà cung cấp VPS bán hạ tầng. Điều đó giảm sự phơi bày thương mại và lập hồ sơ liên-dịch-vụ, nhưng nó không giấu metadata VPS, bản ghi kết nối ISP, thiết bị bị xâm phạm, hay giám sát cấp nhà nước.

Stack tự lưu trữ bảo mật tối thiểu tôi nên bắt đầu là gì?

Hãy bắt đầu với WireGuard, Vaultwarden và SearXNG. Những cái đó bao phủ khả năng quan sát mạng, rủi ro rò rỉ từ nhà-cung-cấp-mật-khẩu, và việc lập hồ sơ tìm kiếm đã đăng nhập trên một VPS 2 GB RAM. Thêm Nextcloud sau; chỉ thêm Immich sau khi bạn có nhiều RAM, lưu trữ và kỷ luật sao lưu hơn.

Lưu trữ ở Frankfurt hay Amsterdam có thực sự tốt hơn cho quyền riêng tư so với Mỹ không?

Các khu vực châu Âu có thể giảm một số phơi bày trực tiếp trước các nhà cung cấp đặt-trụ-sở-tại-Mỹ, nhưng chúng không khiến dữ liệu trở nên bất khả xâm phạm về mặt pháp lý. Thẩm quyền pháp lý của công ty, vị trí trung tâm dữ liệu, hợp đồng, mã hóa và vị trí sao lưu đều quan trọng. Các yêu cầu pháp lý của Đức, Hà Lan hay Thụy Sĩ vẫn có thể áp dụng.

Tôi có nên tự lưu trữ email cho quyền riêng tư không?

Với gần như tất cả mọi người, không. Tự lưu trữ email cần SPF, DKIM, DMARC, danh tiếng IP, lọc spam, và công việc về khả năng phân phối liên tục. Hãy dùng một nhà cung cấp bảo mật được quản lý như Proton Mail, Tuta, hoặc Mailbox.org. PrivacyGuides chỉ khuyến nghị tự lưu trữ email cho những người dùng nâng cao.

WireGuard thực sự bảo vệ tôi khỏi cái gì?

WireGuard định tuyến lưu lượng qua VPS của bạn, giới hạn những gì ISP và mạng cục bộ của bạn có thể thấy. Nó không giấu lưu lượng đi ra khỏi nhà cung cấp VPS. Họ vẫn có thể thấy metadata kết nối, các IP đích, thời điểm và lượng. Đó là quyền riêng tư trước ISP của bạn, không phải sự vô hình.

Chia sẻ

Thêm bài viết từ blog

Tiếp tục đọc.

Sẵn sàng triển khai? Từ $2.48/tháng.

Cloud độc lập, từ 2008. AMD EPYC, NVMe, 40 Gbps. Hoàn tiền trong 14 ngày.