Vai al contenuto principale
50% di sconto tutti i piani, tempo limitato. A partire da $2.48/mo
21 min left
Sicurezza e rete

Il miglior stack di privacy self-hosted a cinque livelli

J Di Jonas 21 min di lettura
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

A marzo 2025, Krebs on Security ha riferito che gli investigatori federali statunitensi avevano collegato un furto di criptovalute da 150 milioni di dollari direttamente alla violazione di LastPass del 2022. Il meccanismo era semplice: alcuni clienti memorizzavano le frasi seed nelle Secure Notes di LastPass, gli attaccanti hanno ottenuto i backup cifrati dei vault, e protezioni dei vault deboli o datate hanno permesso di decifrare offline alcuni contenuti.

La lezione non è che LastPass sia stato unicamente negligente. La lezione è che ogni violazione di cui leggi è qualcun altro che monetizza i tuoi dati mentre l'email di scuse resta nella tua casella di posta. Il self-hosting cambia chi può fartelo, ai tuoi dati. Non cambia il fatto che qualcuno può sempre.

Questo post è per i lettori il cui modello di minaccia è l'esposizione commerciale dei dati, cioè la monetizzazione delle Big Tech e le violazioni dei fornitori, non la sorveglianza a livello statale, il giornalismo ad alto rischio, l'attivismo o la discovery legale. L'architettura qui sotto è uno stack a cinque livelli per quel modello di minaccia specifico.

La versione breve

Questo stack ha cinque livelli. Ogni livello rimuove una comune dipendenza dalle Big Tech, ma nessuno di essi ti rende invisibile.

  • Rete: WireGuard sostituisce una VPN commerciale e limita la visibilità dell'ISP o della rete locale.
  • Identità: Vaultwarden sostituisce i gestori di password ospitati e riduce l'esposizione alle violazioni lato fornitore.
  • Ricerca: SearXNG riduce la profilazione delle ricerche facendo da proxy alle ricerche attraverso il tuo VPS e tenendole fuori dal tuo account di ricerca con login.
  • File e foto: Nextcloud AIO e Immich sostituiscono Google Drive e Google Photos, eliminando la scansione dei contenuti cloud e l'incrocio dei dati tra prodotti.
  • Comunicazioni di team: Mattermost o Rocket.Chat spostano la cronologia della chat di team fuori da Slack, Discord o Teams.
  • Limiti principali: Il tuo provider VPS può comunque vedere i metadati dell'infrastruttura, il tuo ISP può comunque vedere che ti colleghi al tuo server, e questo stack non è costruito per avversari a livello statale.
  • Nota sulla giurisdizione: L'hosting nell'UE rafforza il caso della sovranità dei dati, ma non è uno scudo magico.

Il self-hosting sposta la fiducia, non la rimuove

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

C'è un argomento di lunga data su Hacker News, ed è corretto in apparenza: "il self-hosting su un VPS non risolve la privacy, ti limiti a fidarti di un fornitore diverso." Chiunque progetti un'architettura di privacy dovrebbe affrontarlo direttamente, anziché aggirarlo. La risposta onesta è che lo spostamento della fiducia è asimmetrico. Non è equivalente.

Parti da ciò che il self-hosting riduce. Il modello di business del tuo provider SaaS non è più estrarre valore dai tuoi dati, perché il provider non c'è più. L'esposizione alle violazioni lato fornitore cambia forma: il vault di Vaultwarden è cifrato lato client, ma i servizi leggibili lato server come Nextcloud, Mattermost e Rocket.Chat necessitano comunque di un corretto hardening, backup e controllo degli accessi.

La lezione di LastPass non era che la crittografia dei vault non sia mai esistita. Era che i backup cifrati dei vault rubati, i metadati non cifrati, le impostazioni KDF datate e le master password deboli hanno creato un percorso di cracking offline. Anche la profilazione comportamentale tra servizi si riduce, perché c'è meno dato cross-servizio che una sola azienda possa assemblare. Il lock-in da abbonamento diminuisce.

Ora, cosa il self-hosting non elimina. L'hypervisor del tuo provider VPS può, in linea di principio, leggere la memoria della tua VM. Il tuo provider VPS vede i metadati a livello di infrastruttura: a quali IP ti colleghi, quando, e quanti dati si spostano.

Il tuo ISP vede comunque che ti stai collegando al tuo server. Le richieste legali giurisdizionali si applicano comunque a livello di provider VPS, e un ordine del tribunale resta un ordine del tribunale. Un VPS, un'app, un database o un account amministrativo compromessi possono comunque esporre i dati.

I conti sulla fiducia sono ciò che conta. Un provider VPS ha meno incentivo commerciale a estrarre valore dai tuoi dati rispetto a Google o Meta, perché il modello di business è il canone mensile, e i tuoi dati no. Un provider VPS ha meno dati aggregati su di te, cioè il tuo unico server, non la tua cronologia di ricerca, la cronologia delle posizioni e la casella di posta messe insieme.

Nell'UE, il provider opera sotto il GDPR e termini contrattuali specifici. Niente di tutto questo rende un VPS più sicuro di Google in ogni dimensione. È un modello di minaccia diverso con un profilo di esposizione diverso, e per il modello di minaccia che questo post affronta, è un miglioramento significativo.

C'è un'altra distinzione su cui vale la pena essere precisi. La privacy è "non sanno cosa sto facendo". L'anonimato è "non sanno che sono io a farlo". Il self-hosting su un VPS commerciale migliora la privacy rispetto ai fornitori SaaS e alle piattaforme di terze parti.

Non ti dà l'anonimato dal tuo provider VPS. Se hai bisogno di anonimato, stai usando Tor, non un VPS, e il resto di questo post è lo strumento sbagliato.

Punto chiave della sezione: Un VPS sposta la tua fiducia da un fornitore SaaS il cui modello di business è monetizzare i tuoi dati a un provider di infrastruttura il cui modello di business è venderti un server. Per il modello di minaccia della maggior parte dei lettori, è un miglioramento significativo, ma non è invisibilità.

Lo stack a cinque livelli in sintesi

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

Cinque livelli, distribuiti in questo ordine: rete, identità, ricerca, file, comunicazioni. Ognuno affronta una minaccia distinta. Puoi distribuirli a tappe, e puoi saltare i livelli che non ti riguardano. Il modello è più utile di un elenco di app perché scala con le tue preoccupazioni anziché con il numero di servizi in esecuzione sul tuo server.

LivelloApp consigliataSostituisceProtegge daNON protegge daRAM minima
ReteWireGuardVPN commercialeOsservatori dell'ISP e della rete locale, attaccanti su Wi-Fi pubblicoIl provider VPS che vede il tuo egress, leak DNS se non configuratiMeno di 100 MB
IdentitàVaultwardenLastPass, 1Password (ospitati)Violazioni di password lato fornitore, riutilizzo delle credenzialiMaster password debole, niente 2FA, phishing, compromissione del dispositivoMeno di 200 MB
RicercaSearXNGGoogle Search, BingProfilazione delle query di ricerca, targeting pubblicitario basato sulle queryTracciamento sui siti che visiti effettivamente, fingerprinting del browser~250 MB
File e fotoNextcloud AIO + ImmichGoogle Drive, Google PhotosScansione dei contenuti del fornitore cloud, incrocio dei dati tra prodottiVolumi di storage del VPS (la crittografia a riposo spetta a te), compromissione lato dispositivo4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
ComunicazioniMattermost o Rocket.ChatSlack, Discord (uso di team)Archiviazione dei messaggi e scansione dei contenuti lato fornitoreCrittografia end-to-end (questi non sono E2EE per impostazione predefinita)Mattermost: minimo 2 GB; Rocket.Chat: 4 GB+

Punto chiave della sezione: Parti da WireGuard, Vaultwarden e SearXNG se vuoi lo stack di privacy più leggero. Aggiungi Nextcloud, Immich e la chat di team solo dopo che sei pronto per un uso di RAM più elevato, la pianificazione dello storage, i backup e più lavoro di amministrazione.

Livello 1: il livello di rete (WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

Il file di configurazione di WireGuard per una tipica installazione mono-utente è di dodici righe. Il suo handshake si completa in un solo round trip e usa il framework del protocollo Noise. Il modulo del kernel è nel mainline di Linux dalla 5.6, il che significa che il protocollo che distribuisci nel 2026 è lo stesso che è stato sottoposto ad audit ed è stabile da anni. Questa è l'impostazione predefinita giusta.

Cosa affronta questo livello: gli osservatori dell'ISP e della rete locale che altrimenti vedrebbero ogni dominio a cui ti colleghi, gli attaccanti su Wi-Fi pubblico, e l'esposizione del tuo IP di casa a ogni servizio che visiti. Il tuo traffico esce dal tuo VPS anziché dal tuo appartamento.

Cosa non affronta: la visione del tuo provider VPS sull'egress del tuo traffico. Vede a cosa si collega il tuo endpoint VPN, quando, e quanto. WireGuard nasconde il traffico dal tuo ISP. Non lo nasconde dal server che gestisce l'egress.

Anche i leak DNS sono un problema separato e non vengono gestiti automaticamente; devi puntare i tuoi client VPN a un resolver di cui ti fidi. Esegui Unbound sullo stesso VPS, oppure usa un upstream fidato tramite DoT o DoH. Il blocco completo della pubblicità a livello DNS con Pi-hole è un argomento separato e non è la cosa giusta da combinare con un egress VPN per la maggior parte degli utenti (di più su questo qui sotto).

WireGuard rispetto alle alternative, in breve. OpenVPN funziona ancora. L'handshake è più grande, l'impronta di metadati è più ampia, e il throughput è inferiore. Non c'è motivo di sceglierlo per una nuova installazione, a meno che tu non abbia specificamente bisogno di una funzionalità che WireGuard non offre.

Tailscale è uno strumento diverso: è una mesh a configurazione zero costruita su WireGuard ed è eccellente per cucire insieme i tuoi servizi self-hosted tra più macchine. Non è ciò che vuoi come egress di privacy verso internet, perché il piano di coordinamento è ospitato da Tailscale.

Nota: Cambiare la porta predefinita 51820/UDP può ridurre le scansioni a basso sforzo, ma non fa apparire WireGuard come normale traffico HTTPS né aggira un filtraggio serio. Trattalo come riduzione delle scansioni, non come occultamento.

Per l'installazione, abbiamo una guida passo passo alla configurazione di WireGuard per Ubuntu che si abbina a questa architettura.

Punto chiave della sezione: WireGuard sul tuo VPS ti dà un egress di rete privato che il tuo ISP non può ispezionare, ma non nasconde il tuo traffico dal provider VPS che gestisce l'egress.

Livello 2: il livello di identità (Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwarden gira in meno di 200 MB di RAM. È una reimplementazione in Rust dell'API di Bitwarden, compatibile con ogni client ufficiale Bitwarden (estensioni del browser, app desktop, app mobile), e non richiede la pesante immagine di riferimento del server Bitwarden. Per un singolo utente o una famiglia, questa è la dimensione giusta.

Cosa affronta questo livello: le violazioni di password lato fornitore, come il fallimento in stile LastPass, in cui i contenuti dei vault sono trapelati e sono stati alla fine decifrati offline. Il riutilizzo delle credenziali tra servizi diventa meccanicamente più difficile una volta che hai un gestore di password che usi davvero. L'aggregazione del profilo di identità tra servizi diminuisce, perché nessuna terza parte vede l'elenco.

Cosa non affronta: la tua stessa OpSec. Una master password debole, niente 2FA sul vault, o un attacco di phishing riuscito ai tuoi danni sconfigge interamente questo livello. Un dispositivo compromesso con un'estensione del browser con login attivo lo sconfigge ancora più interamente. Vaultwarden è un vault, non un sostituto delle basi.

C'è un avvertimento operativo che conta più di ogni altro in questo stack. Fare il self-hosting del tuo gestore di password significa che sei responsabile dei backup. Un VPS che si guasta al momento sbagliato, o un server che cancelli per sbaglio, ti blocca fuori da ogni account che questo livello protegge.

Anche XDA Developers ha trattato direttamente questo rischio, avvertendo che un gestore di password self-hosted può bloccarti fuori da account importanti se l'accesso, i backup o la pianificazione del recupero falliscono.

Avvertenza: Esegui backup cifrati automatici della directory dati di Vaultwarden. Mantieni un'esportazione cifrata offline, conserva i codici di recupero separatamente, e testa il ripristino su un dispositivo di riserva o un container temporaneo. Non affidarti a un singolo backup del VPS. Questo non è opzionale. È il prezzo di togliere il vault dall'infrastruttura del fornitore.

Se in seguito centralizzi il single sign-on tra più servizi self-hosted, Authentik è l'identity provider open source su cui finisce la maggior parte delle persone. Quello è un livello avanzato e fuori dall'ambito dello stack di base.

Per l'installazione, la nostra guida al self-hosting di Vaultwarden è il complemento di installazione. Per uno sguardo più approfondito al panorama dei gestori di password, vedi la nostra guida ai migliori gestori di password self-hosted.

Punto chiave della sezione: Vaultwarden sposta il tuo vault delle password fuori dall'infrastruttura del fornitore, soggetta a violazioni, ma mette su di te l'onere del backup e del recupero, e quell'onere è reale.

Livello 3: il livello di ricerca e navigazione (SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

Un'istanza SearXNG riceve la tua query, la distribuisce ai motori upstream (Google, Bing, DuckDuckGo, altri che abiliti), rimuove alcuni parametri identificativi e restituisce una pagina di risultati unificata.

Le tue query raggiungono Google, ma lo raggiungono come query dal tuo VPS, non dal tuo account di ricerca con login. Un'istanza mono-utente non crea un grande pool di anonimato, quindi i motori upstream possono comunque associare i pattern delle query a quell'IP del VPS.

Cosa affronta questo livello: la profilazione delle query di ricerca, il targeting pubblicitario comportamentale legato alla tua cronologia di ricerca con login, e la lunga memoria di un account di ricerca. Il problema del "perché vedo annunci per la cosa che ho cercato ieri" si riduce a livello di account di ricerca.

Cosa non affronta: il tracciamento da parte dei siti su cui clicchi effettivamente. Cookie, fingerprinting e tracker sulle pagine di terze parti sono un problema lato browser, non lato ricerca. Usa una configurazione del browser irrobustita per affrontarlo.

SearXNG inoltre non ti rende anonimo rispetto al motore di ricerca upstream se il tuo VPS gli invia solo le tue query; il traffico aggregato di un'istanza molto attiva nasconde i singoli utenti nel rumore, ma un'istanza mono-utente può comunque assomigliare al pattern di ricerca di un solo utente.

Whoogle Search è l'alternativa più leggera. È un front-end per Google, più semplice, e fa una sola cosa. SearXNG aggrega più motori, il che è più utile se il tuo motivo per lasciare Google non era specificamente Google. Scegli in base a quante fonti vuoi davvero.

Una nota operativa per le istanze mono-utente. SearXNG inoltra le query ai motori upstream, e Google può limitare la frequenza dei pattern di traffico sospetti. Un singolo utente raramente raggiunge questo limite. Una piccola istanza pubblica potrebbe. Se le query iniziano a fallire, riduci il numero di motori upstream, regola le impostazioni del limiter di SearXNG, o appoggiati di più a motori upstream meno ostili.

Punto chiave della sezione: SearXNG fa da proxy alle tue ricerche attraverso il tuo VPS e le tiene fuori dal tuo account di ricerca con login. Riduce la profilazione diretta delle ricerche, ma un'istanza mono-utente privata non crea un grande pool di anonimato.

Livello 4: il livello di file e foto (Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIO è l'installazione Docker all-in-one di Nextcloud ed è il percorso di minor resistenza verso un server funzionante di sincronizzazione file, calendario, contatti e collaborazione sui documenti.

Immich è la controparte per le foto: vista a timeline, caricamento automatico da iOS e Android, riconoscimento facciale in stile Google Photos elaborato sul tuo server o sull'host ML scelto, e un onesto consenso della community sul fatto che sia il sostituto di Google Photos più usabile attualmente in circolazione.

Queste non sono applicazioni leggere. Nextcloud AIO va trattato come una base di 4 GB / 2 vCPU; il machine learning di Immich, la generazione delle miniature e la prima scansione della libreria useranno ciò che gli dai.

Cosa affronta questo livello: la scansione dei fornitori di cloud storage, il riconoscimento dei contenuti delle foto, e l'elaborazione lato cloud che tiene una libreria personale sensibile dentro un account del fornitore, e la centralizzazione dei dati a livello di account che tiene file, foto, ricerche, cronologia delle posizioni e segnali di identità sotto un unico account aziendale.

Sostituire tutto questo con un server che controlli tu rompe quella centralizzazione.

Cosa non affronta: i byte vivono comunque su un volume di storage che il tuo provider VPS gestisce. La crittografia a riposo è una tua responsabilità, non la loro per impostazione predefinita. La compromissione lato dispositivo è un problema separato; se il tuo telefono è rooted, il client Nextcloud su di esso è esposto a prescindere da dove si trovi il server.

Se la tua unica esigenza è "tenere queste cartelle sincronizzate tra i miei dispositivi", Syncthing è lo strumento più semplice. È peer-to-peer, non ha un server nel mezzo, e fa bene quell'unico lavoro. Non è un sostituto delle funzionalità di calendario, contatti e collaborazione che Nextcloud fornisce; è un sostituto del sottoinsieme di sincronizzazione dei file.

Per Immich nello specifico, conta una regola pratica di dimensionamento. Nextcloud AIO va trattato come una base di 4 GB / 2 vCPU. Immich non è un leggero accessorio per le foto una volta che entrano in gioco il machine learning, le miniature e una prima scansione della libreria. Pianifica intorno a 6-8 GB di RAM per le installazioni a forte uso di Immich, specialmente durante la migrazione.

Per l'installazione, abbiamo un confronto tra Nextcloud e ownCloud per gli utenti che stanno ancora scegliendo tra i due, e una panoramica più ampia sulle piattaforme cloud self-hosted con interfaccia web se stai esplorando il settore.

Punto chiave della sezione: Nextcloud e Immich possono spostare file e foto fuori dagli account cloud in stile Google, ma sono il primo livello di questo stack che ha bisogno di RAM seria, storage, pianificazione dei backup e pazienza nella migrazione.

Livello 5: il livello delle comunicazioni (Mattermost o Rocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

I workspace di Slack sono ricercabili da Slack. Discord scansiona i contenuti per violazioni dei ToS. Microsoft Teams conserva i registri delle chat secondo le policy del tuo tenant, che sono policy che la tua organizzazione IT può vedere.

Per la chat di team o di famiglia che non dovrebbe vivere in nessuno di quei posti, un Mattermost o Rocket.Chat self-hosted è la risposta standard. Questo livello riguarda il tenere gli archivi di team fuori dal SaaS, non la chat privata end-to-end.

Cosa affronta questo livello: l'archiviazione dei messaggi lato fornitore, la scansione dei contenuti lato fornitore, e la perdita di accesso che si verifica quando il fornitore decide che il tuo account è un problema. La cronologia dei messaggi del tuo team risiede sul tuo server.

Cosa non affronta, e questo conta: la crittografia end-to-end. Mattermost e Rocket.Chat non sono E2EE per impostazione predefinita. L'amministratore del server può leggere i messaggi. L'amministratore del server ora sei tu, il che è meglio dei dipendenti di un fornitore SaaS, ma il principio conta comunque per il modello di minaccia del tuo team.

Per la messaggistica sicura uno-a-uno, Signal è la risposta giusta, non un server self-hosted. Se il livello di comunicazione deve essere E2EE per impostazione predefinita, guarda Matrix/Element o usa Signal per le chat personali. Il self-hosting risolve la messaggistica di team senza un fornitore; non sostituisce Signal per i modelli di minaccia personali.

Mattermost rispetto a Rocket.Chat. Entrambi sono validi. Mattermost è più snello, più a forma di enterprise, e ha meno funzionalità opzionali attivate per impostazione predefinita. Rocket.Chat è più ampio, integra più tipi di canale, e ha un ecosistema di plugin più grande. L'uno o l'altro va bene per il tipico caso d'uso dello stack di privacy di una piccola chat di team o di famiglia.

Avvertenza 2026: Controlla l'esatta edizione gratuita prima di distribuire Mattermost. Mattermost Entry ha un limite di cronologia di 10.000 messaggi, mentre la Team Edition evita quel limite ma ha i propri limiti. Per Rocket.Chat, metti a budget più di un minuscolo VPS da 1 GB, perché MongoDB, i caricamenti e le integrazioni aggiungono sovraccarico.

Punto chiave della sezione: Un Mattermost o Rocket.Chat self-hosted rimuove l'archivio di chat del tuo team da un fornitore SaaS, ma se hai bisogno di una vera crittografia end-to-end tra due persone, Signal è ancora lo strumento giusto.

Cosa NON fare in self-hosting (e perché)

Alcune cose che sembrano appartenere a uno stack di privacy in realtà no. Elencarle fa parte del costruire uno stack di cui valga la pena fidarsi.

Email. Non fare il self-hosting dell'email se non sei già un operatore Linux esperto che lo vuole specificamente. PrivacyGuides ha una posizione chiara e ben nota su questo, ed è quella giusta: solo gli utenti avanzati dovrebbero gestire il proprio mail server. I motivi non sono curiosità tecnica. SPF, DKIM e DMARC devono essere configurati e mantenuti corretti.

La reputazione dell'IP va guadagnata e mantenuta. Il filtraggio dello spam è uno stato di cose permanente. La battaglia sulla deliverability con Gmail non è un passo di configurazione; è una condizione continua. Per tutti gli altri, un provider gestito e rispettoso della privacy è davvero la risposta giusta per questo livello.

Proton Mail, Tuta (precedentemente Tutanota) e Mailbox.org sono tutte buone scelte. Questa è una regola ferrea di questo post: non fare il self-hosting dell'email per la privacy del pubblico generale.

Pi-hole come resolver DNS primario della rete di casa, su un VPS. Pi-hole è ottimo. Metterlo su un VPS come resolver ricorsivo per l'intera internet di casa tua è un singolo punto di guasto che rompe internet per tutti in casa quando il VPS ha un intoppo. Pi-hole sta su un Raspberry Pi a casa. Non fa parte di questo stack.

Social media federati. Mastodon, Pleroma e gli altri sono interessanti e affini. L'adozione è il vincolo principale, non la privacy. Sono la risposta giusta per alcune persone, ma non centrali per uno stack di privacy focalizzato sul togliere i tuoi dati dai server delle Big Tech.

Strumenti di anonimato. Tor, I2P, mixnet. Modello di minaccia diverso, post diverso. Se ne hai bisogno, già lo sai.

Il riassunto: Proton Mail o un suo pari è un'alternativa gestita per un livello specifico, e riconoscerlo fa parte di uno stack che vale la pena usare. Il self-hosting aiuta dove quei provider non coprono l'intero flusso di lavoro: foto, ricerca, analisi personalizzate e chat di team. Per la privacy del pubblico generale, l'email è l'unico livello che questo stack dovrebbe affidare all'esterno.

Punto chiave della sezione: La maggior parte degli utenti non dovrebbe fare il self-hosting dell'email. Un provider gestito e rispettoso della privacy come Proton Mail è davvero la risposta migliore per quell'unico livello, e riconoscerlo fa parte del costruire uno stack affidabile.

Dove eseguirlo: dimensionamento del VPS e giurisdizione

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

La questione del dimensionamento non è astratta. Questo stack ha tre forme pratiche: il leggero nucleo di privacy, il livello dei file, e la versione a forte uso di foto che porta il machine learning di Immich nel mix. Il salto dall'una alla successiva non è cosmetico. File, miniature, riconoscimento facciale e migrazione della prima libreria sono ciò che trasforma un piccolo VPS in un vero budget per server.

Forma dell'installazioneApp incluseMinimo realistico del VPS
Stack minimo praticabileWireGuard, Vaultwarden, SearXNG2 GB RAM / 1 vCPU
Base NextcloudWireGuard, Vaultwarden, SearXNG, Nextcloud AIO4 GB RAM / 2 vCPU
Stack file e fotoWireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich8 GB RAM / 4 vCPU
Nota su storage e backupPer lo più Nextcloud e ImmichStorage NVMe + backup esterni al server

Leggi la tabella così:

  • Lo stack minimo copre i tre livelli a più alto rendimento: rete, identità e ricerca.
  • Base Nextcloud ha bisogno di più margine perché PHP, il lavoro sul database, l'indicizzazione dei file, i job di sincronizzazione e l'interfaccia web girano tutti insieme.
  • Stack file e foto ha bisogno di un budget maggiore perché il machine learning di Immich, le miniature, il riconoscimento facciale e la prima scansione della libreria foto possono mettere a dura prova il server durante la migrazione.
  • Lo storage conta perché il calcolo è solo metà del piano. File e foto hanno bisogno di spazio per crescere, di backup lontani dal VPS, e di un percorso di recupero che funzioni ancora se il server non c'è più.

Poi c'è la giurisdizione. A giugno 2025, Microsoft ha testimoniato al Parlamento francese di non poter garantire che i dati ospitati nell'UE sarebbero stati protetti dall'accesso legale statunitense. Quella testimonianza ha spostato l'argomento della sovranità dei dati dalla teoria al dibattito di policy mainstream.

Per gli utenti che danno priorità alla sovranità dei dati, contano tutti: la giurisdizione dell'azienda, la posizione del datacenter, i contratti, il modello di crittografia e la posizione dei backup.

If CLOUD Act l'esposizione fa parte della preoccupazione, non trattare un datacenter UE da solo come la risposta completa. Un provider non con sede negli Stati Uniti e con una regione europea è una scelta più pulita rispetto alla regione UE di un hyperscaler con sede negli Stati Uniti, ma questo comunque non rende i dati legalmente intoccabili.

L'avvertenza: La giurisdizione è attrito, non invulnerabilità. Un ordine di un tribunale tedesco resta un ordine del tribunale. Anche uno olandese. Così come una richiesta legale svizzera. L'hosting europeo può ridurre alcune esposizioni dirette ai provider cloud con sede negli Stati Uniti e aggiungere un processo legale locale, ma non rende i dati legalmente intoccabili.

Per il modello di minaccia della maggior parte dei lettori, l'attrito aggiunto è utile. Non è uno scudo magico.

Punto chiave della sezione: Lo stack leggero può girare su un piccolo VPS, ma file e foto cambiano il budget. Usa 4 GB / 2 vCPU come base solo-Nextcloud, e pianifica più vicino a 8 GB / 4 vCPU per un'installazione Immich a forte uso di foto. Il Marketplace di Cloudzy abbassa lo sforzo di configurazione per le app di base, mentre la giurisdizione aggiunge attrito legale, non invisibilità.

Come distribuire lo stack senza trasformare la configurazione nel progetto

Puoi costruire ogni livello manualmente. Va bene se il lavoro di configurazione fa parte del fascino. Per la maggior parte dei lettori, non lo è. Il senso di questo stack è allontanarsi dalla gravità dei dati delle Big Tech, non passare una settimana a fare il debug di Docker, porte, DNS e file di servizio prima ancora che la prima app giri.

Il percorso a minor attrito è partire da un'immagine VPS funzionante e irrobustire da lì. Il Marketplace di Cloudzy include immagini VPS in un clic per WireGuard, Vaultwarden, SearXNG, Nextcloud AIO e altri strumenti self-hosted, così l'installazione di base non è la parte che ti divora il fine settimana.

Il lavoro che conta ancora è quello che nessun marketplace può fare per te: DNS, regole del firewall, backup, controlli degli accessi, aggiornamenti e test di recupero.

Anche il server sottostante conta. Questo stack è storage, rete, scelta della regione e margine, non solo nomi di app in una tabella. Cloudzy ti dà infrastruttura VPS basata su NVMe, accesso root completo, 13 regioni, networking a 40 Gbps, 99,95% di uptime e un periodo di rimborso di 14 giorni.

Parti in piccolo per WireGuard, Vaultwarden e SearXNG. Sali per Nextcloud. Pianifica più seriamente per Immich una volta che il machine learning, le miniature e la migrazione delle foto entrano in gioco.

Come iniziare

Cinque livelli, ognuno che affronta una minaccia specifica. Nessuno di essi pretende di renderti invisibile. Tutti riducono un'esposizione commerciale dei dati specifica che attualmente accetti per impostazione predefinita.

Scegli l'unico livello che affronta il tuo dolore attuale più concreto. Se hai mai aperto un'email di notifica di violazione, quello è il livello di identità. Se hai notato annunci che ti seguono su siti che non hai mai visitato, quello è il livello di ricerca. Distribuisci quello. L'architettura scala. La decisione di iniziare non deve farlo.

L'installazione di un singolo livello richiede al massimo un fine settimana. I file di configurazione sono brevi. Non c'è motivo perché sia più complicato di così.

Domande frequenti

Il self-hosting su un VPS protegge davvero la mia privacy, o mi sto solo fidando di un fornitore diverso?

Sì, per questo modello di minaccia. Sposta la fiducia dai fornitori SaaS che monetizzano i dati degli utenti a un provider VPS che vende infrastruttura. Questo riduce l'esposizione commerciale e la profilazione cross-servizio, ma non nasconde i metadati del VPS, i registri di connessione dell'ISP, i dispositivi compromessi o la sorveglianza a livello statale.

Qual è lo stack di privacy self-hosted minimo da cui dovrei partire?

Parti da WireGuard, Vaultwarden e SearXNG. Questi coprono la visibilità della rete, il rischio di violazione del fornitore di password e la profilazione delle ricerche con login su un VPS da 2 GB di RAM. Aggiungi Nextcloud più tardi; aggiungi Immich solo dopo che hai più RAM, storage e disciplina nei backup.

Ospitare a Francoforte o Amsterdam è davvero meglio per la privacy rispetto agli Stati Uniti?

Le regioni europee possono ridurre alcune esposizioni dirette ai provider con sede negli Stati Uniti, ma non rendono i dati legalmente intoccabili. Contano la giurisdizione dell'azienda, la posizione del datacenter, i contratti, la crittografia e la posizione dei backup. Le richieste legali tedesche, olandesi o svizzere possono comunque applicarsi.

Dovrei fare il self-hosting della mia email per la privacy?

Per quasi tutti, no. Il self-hosting dell'email richiede SPF, DKIM, DMARC, reputazione dell'IP, filtraggio dello spam e un lavoro costante sulla deliverability. Usa un provider gestito e rispettoso della privacy come Proton Mail, Tuta o Mailbox.org. PrivacyGuides raccomanda l'email self-hosted solo per gli utenti avanzati.

Da cosa mi protegge davvero WireGuard?

WireGuard instrada il traffico attraverso il tuo VPS, limitando ciò che il tuo ISP e la tua rete locale possono vedere. Non nasconde il traffico in egress dal provider VPS. Possono comunque vedere i metadati di connessione, gli IP di destinazione, i tempi e il volume. È privacy dal tuo ISP, non invisibilità.

Share

Altro dal blog

Continua a leggere.

Pronto a distribuire? Da 2,48 $/mese.

Cloud indipendente, dal 2008. AMD EPYC, NVMe, 40 Gbps. Rimborso entro 14 giorni.