Mart 2025'te, Krebs on Security, ABD federal müfettişlerinin 150 milyon $'lık bir kripto para hırsızlığını doğrudan 2022 LastPass ihlaline bağladığını bildirdi. Mekanizma basitti: bazı müşteriler tohum ifadelerini LastPass Secure Notes'ta sakladı, saldırganlar şifreli kasa yedeklerini ele geçirdi ve zayıf veya eski kasa korumaları bazı kasa içeriklerinin çevrimdışı kırılmasına izin verdi.
Ders, LastPass'in benzersiz biçimde dikkatsiz olması değil. Ders şu ki, hakkında okuduğunuz her ihlal, özür e-postası gelen kutunuzda otururken başka birinin verisinin paraya çevrilmesidir. Kendi kendine barındırma, bunu verinize kimin yapabileceğini değiştirir. Birinin her zaman yapabileceği gerçeğini değiştirmez.
Bu yazı, tehdit modeli ticari veri ifşası olan okuyucular için, yani devlet düzeyinde gözetim, yüksek riskli gazetecilik, aktivizm veya yasal keşif değil, Big Tech'in paraya çevirmesi ve satıcı ihlalleri. Aşağıdaki mimari, o spesifik tehdit modeli için beş katmanlı bir yığın.
Kısa Versiyon
Bu yığının beş katmanı var. Her katman bir yaygın Big Tech bağımlılığını kaldırır, ama hiçbiri sizi görünmez kılmaz.
- Ağ: WireGuard, ticari bir VPN'in yerini alır ve ISP veya yerel ağ görünürlüğünü sınırlar.
- Kimlik: Vaultwarden, barındırılan parola yöneticilerinin yerini alır ve satıcı tarafı ihlal maruziyetini azaltır.
- Arama: SearXNG, aramaları VPS'iniz üzerinden proxy'leyerek ve oturum açmış arama hesabınızın dışında tutarak arama profillemesini azaltır.
- Dosyalar ve fotoğraflar: Nextcloud AIO ve Immich, Google Drive ile Google Photos'un yerini alır; bulut içerik taramasını ve ürünler arası veri birleştirmeyi keser.
- Ekip iletişimi: Mattermost veya Rocket.Chat, ekip sohbeti geçmişini Slack, Discord veya Teams'in dışına taşır.
- Ana sınırlar: VPS sağlayıcınız hâlâ altyapı meta verisini görebilir, ISP'niz hâlâ sunucunuza bağlandığınızı görebilir ve bu yığın devlet düzeyinde rakipler için kurulmamıştır.
- Yargı yetkisi notu: AB barındırması veri egemenliği savını güçlendirir, ama sihirli bir kalkan değildir.
Kendi Kendine Barındırma Güveni Kaydırır, Onu Kaldırmaz

Şurada uzun süredir devam eden bir tartışma var Hacker News, ve görünüşte doğru: "bir VPS üzerinde kendi kendine barındırma gizliliği çözmez, sadece farklı bir satıcıya güvenirsiniz." Bir gizlilik mimarisi tasarlayan herkes bununla etrafından dolaşmak yerine doğrudan yüzleşmeli. Dürüst yanıt, güven kaymasının asimetrik olması. Eşdeğer değil.
Kendi kendine barındırmanın neyi azalttığıyla başlayın. SaaS sağlayıcınızın iş modeli artık verinizi madenlemek değil, çünkü sağlayıcı yok. Satıcı tarafı ihlal maruziyeti şekil değiştirir: Vaultwarden'ın kasası istemci tarafında şifrelidir, ama Nextcloud, Mattermost ve Rocket.Chat gibi sunucuda okunabilir hizmetler hâlâ uygun sertleştirme, yedeklemeler ve erişim kontrolü gerektirir.
LastPass dersi, kasa şifrelemesinin hiç var olmaması değildi. Çalınmış şifreli kasa yedeklerinin, şifrelenmemiş meta verinin, eski KDF ayarlarının ve zayıf ana parolaların çevrimdışı bir kırma yolu oluşturmasıydı. Hizmetler arası davranışsal profilleme de küçülür, çünkü tek bir şirketin birleştireceği daha az hizmetler arası veri olur. Abonelik kilitlenmesi düşer.
Şimdi, kendi kendine barındırmanın neyi ortadan kaldırmadığı. VPS sağlayıcınızın hipervizörü, prensipte VM'inizin belleğini okuyabilir. VPS sağlayıcınız altyapı düzeyindeki meta verinizi görür: hangi IP'lere bağlandığınızı, ne zaman ve ne kadar veri taşındığını.
ISP'niz hâlâ sunucunuza bağlandığınızı görür. Yargısal yasal talepler hâlâ VPS sağlayıcı düzeyinde geçerli ve bir mahkeme kararı hâlâ bir mahkeme kararıdır. Ele geçirilmiş bir VPS, uygulama, veritabanı veya yönetici hesabı hâlâ veriyi ifşa edebilir.
Önemli olan güven matematiği. Bir VPS sağlayıcısının verinizi madenlemek için Google veya Meta'dan daha az ticari teşviki vardır, çünkü iş modeli aylık ücret, veriniz değil. Bir VPS sağlayıcısının sizin hakkınızda daha az birleştirilmiş verisi vardır, yani tek bir sunucunuz, arama geçmişiniz, konum geçmişiniz ve gelen kutunuz birlikte değil.
AB'de sağlayıcı, GDPR ve belirli sözleşme şartları altında çalışır. Bunların hiçbiri bir VPS'i her boyutta Google'dan daha güvenli kılmaz. Farklı bir maruziyet profiline sahip farklı bir tehdit modeli ve bu yazının ele aldığı tehdit modeli için anlamlı bir iyileşme.
Hassas olmaya değer bir ayrım daha var. Gizlilik, "ne yaptığımı bilmiyorlar" demektir. Anonimlik, "bunu yapanın ben olduğumu bilmiyorlar" demektir. Ticari bir VPS üzerinde kendi kendine barındırma, SaaS satıcılarından ve üçüncü taraf platformlardan gizliliği iyileştirir.
Size VPS sağlayıcınızdan anonimlik vermez. Anonimliğe ihtiyacınız varsa, bir VPS değil Tor kullanırsınız ve bu yazının geri kalanı yanlış araçtır.
Bölümün anahtar çıkarımı: Bir VPS, güveninizi iş modeli verinizi paraya çevirmek olan bir SaaS satıcısından, iş modeli size bir sunucu satmak olan bir altyapı sağlayıcısına kaydırır. Çoğu okuyucunun tehdit modeli için bu anlamlı bir iyileşme, ama görünmezlik değil.
Bir Bakışta Beş Katmanlı Yığın

Beş katman, bu sırayla dağıtılır: ağ, kimlik, arama, dosyalar, iletişim. Her biri farklı bir tehdidi ele alır. Onları aşamalar hâlinde dağıtabilir ve sizin için geçerli olmayan katmanları atlayabilirsiniz. Model, bir uygulama listesinden daha yararlıdır çünkü sunucunuzda çalışan hizmetlerin sayısıyla değil, endişelerinizle ölçeklenir.
| Katman | Önerilen uygulama | Yerini aldığı | Koruduğu şey | Korumadığı şey | RAM tabanı |
|---|---|---|---|---|---|
| Ağ | WireGuard | Ticari VPN | ISP ve yerel ağ gözlemcileri, halka açık Wi-Fi saldırganları | VPS sağlayıcısının çıkışınızı görmesi, yapılandırılmadıkça DNS sızıntıları | 100 MB'nin altında |
| Kimlik | Vaultwarden | LastPass, 1Password (barındırılan) | Satıcı tarafı parola ihlalleri, kimlik bilgisi yeniden kullanımı | Zayıf ana parola, 2FA yok, phishing, cihaz ele geçirilmesi | 200 MB'nin altında |
| Arama | SearXNG | Google Search, Bing | Arama sorgusu profillemesi, sorgulara dayalı reklam hedefleme | Gerçekten ziyaret ettiğiniz sitelerde izleme, tarayıcı parmak izi | ~250 MB |
| Dosyalar ve fotoğraflar | Nextcloud AIO + Immich | Google Drive, Google Photos | Bulut satıcısı içerik taraması, ürünler arası veri birleştirme | VPS depolama birimleri (durağan şifreleme sizin sorumluluğunuzda), cihaz tarafı ele geçirme | 4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled |
| İletişim | Mattermost veya Rocket.Chat | Slack, Discord (ekip kullanımı) | Satıcı tarafı mesaj arşivleme ve içerik tarama | Uçtan uca şifreleme (bunlar varsayılan olarak E2EE değildir) | Mattermost: 2 GB taban; Rocket.Chat: 4 GB+ |
Bölümün anahtar çıkarımı: En hafif gizlilik yığınını istiyorsanız WireGuard, Vaultwarden ve SearXNG ile başlayın. Nextcloud, Immich ve ekip sohbetini ancak daha yüksek RAM kullanımı, depolama planlaması, yedeklemeler ve daha fazla yönetici işine hazır olduktan sonra ekleyin.
Katman 1: Ağ Katmanı (WireGuard)

WireGuard'ın tipik tek kullanıcılı bir kurulum için yapılandırma dosyası on iki satırdır. El sıkışması tek bir gidiş-dönüşte tamamlanır ve Noise protokol çerçevesini kullanır. Çekirdek modülü 5.6'dan beri ana hat Linux'ta yer alır; bu, 2026'da dağıttığınız protokolün yıllardır denetlenmiş ve kararlı olan aynı protokol olduğu anlamına gelir. Bu doğru varsayılan.
Bu katmanın ele aldığı şey: aksi hâlde bağlandığınız her alan adını görecek ISP ve yerel ağ gözlemcileri, halka açık Wi-Fi saldırganları ve ev IP'nizin ziyaret ettiğiniz her hizmete ifşa olması. Trafiğiniz dairenizden değil, VPS'inizden çıkar.
Ele almadığı şey: VPS sağlayıcınızın trafik çıkışınıza bakışı. VPN uç noktanızın neye bağlandığını, ne zaman ve ne kadar olduğunu görürler. WireGuard trafiği ISP'nizden gizler. Çıkışı işleten sunucudan gizlemez.
DNS sızıntıları da ayrı bir sorundur ve otomatik olarak ele alınmaz; VPN istemcilerinizi güvendiğiniz bir çözümleyiciye yönlendirmeniz gerekir. Aynı VPS'te Unbound çalıştırın veya DoT veya DoH üzerinden güvenilir bir yukarı akış kullanın. Pi-hole ile tam DNS katmanı reklam engelleme ayrı bir konudur ve çoğu kullanıcı için bir VPN çıkışıyla birleştirilecek doğru şey değildir (bu konuda aşağıda daha fazlası).
WireGuard'a karşı alternatifler, kısaca. OpenVPN hâlâ çalışır. El sıkışması daha büyük, meta veri ayak izi daha büyük ve aktarım hızı daha düşük. WireGuard'ın sunmadığı bir özelliğe özellikle ihtiyacınız olmadıkça, yeni bir dağıtım için onu seçmenin hiçbir nedeni yok.
Tailscale farklı bir araç: WireGuard üzerine kurulu sıfır yapılandırmalı bir mesh ve kendi kendine barındırdığınız hizmetlerinizi makineler arasında birbirine dikmek için mükemmel. İnternete bir gizlilik çıkışı olarak istediğiniz şey değil, çünkü koordinasyon düzlemi Tailscale tarafından barındırılır.
Not: Varsayılan 51820/UDP portunu değiştirmek düşük çabalı taramaları azaltabilir, ama WireGuard'ı sıradan HTTPS trafiği gibi göstermez veya ciddi filtrelemeyi atlamaz. Bunu gizlilik değil, tarama azaltma olarak ele alın.
Dağıtım için, adım adım bir Ubuntu için WireGuard kurulum kılavuzumuz bu mimariyle eşleşiyor.
Bölümün anahtar çıkarımı: VPS'inizde WireGuard, ISP'nizin inceleyemeyeceği özel bir ağ çıkışı verir, ama trafiğinizi çıkışı işleten VPS sağlayıcısından gizlemez.
Katman 2: Kimlik Katmanı (Vaultwarden)

Vaultwarden, 200 MB'nin altında RAM'de çalışır. Bitwarden API'sinin bir Rust yeniden uygulamasıdır, her resmi Bitwarden istemcisiyle (tarayıcı uzantıları, masaüstü uygulamalar, mobil uygulamalar) uyumludur ve ağır Bitwarden sunucu referans imajını gerektirmez. Tek bir kullanıcı veya bir hane için bu doğru boyut.
Bu katmanın ele aldığı şey: LastPass tarzı başarısızlık gibi, kasa içeriğinin sızdığı ve sonunda çevrimdışı çözüldüğü satıcı tarafı parola ihlalleri. Gerçekten kullandığınız bir parola yöneticiniz olduğunda hizmetler arası kimlik bilgisi yeniden kullanımı mekanik olarak zorlaşır. Hizmetler arası kimlik profili birleştirme düşer, çünkü hiçbir üçüncü taraf listeyi görmez.
Ele almadığı şey: kendi OpSec'iniz. Zayıf bir ana parola, kasada 2FA olmaması veya size yönelik başarılı bir phishing saldırısı bu katmanı tamamen yener. Oturum açmış bir tarayıcı uzantısı olan ele geçirilmiş bir cihaz onu daha da tamamen yener. Vaultwarden bir kasadır, temellerin yerine geçen bir şey değil.
Bu yığında diğer her şeyden daha önemli olan bir operasyonel uyarı var. Parola yöneticinizi kendi kendine barındırmak, yedeklemelerden sorumlu olduğunuz anlamına gelir. Yanlış anda başarısız olan bir VPS veya yanlışlıkla sildiğiniz bir sunucu, bu katmanın koruduğu her hesabın dışında kilitler sizi.
XDA Developers da bu riski doğrudan ele aldıve kendi kendine barındırılan bir parola yöneticisinin, erişim, yedeklemeler veya kurtarma planlaması başarısız olursa sizi önemli hesapların dışında kilitleyebileceği konusunda uyardı.
Uyarı: Vaultwarden veri dizininin otomatik şifreli yedeklemelerini çalıştırın. Şifreli bir çevrimdışı dışa aktarım tutun, kurtarma kodlarını ayrı saklayın ve geri yüklemeyi yedek bir cihazda veya geçici bir konteynerde test edin. Tek bir VPS yedeklemesine güvenmeyin. Bu isteğe bağlı değil. Bu, kasayı satıcı altyapısından çıkarmanın bedeli.
Daha sonra birden fazla kendi kendine barındırılan hizmette tek oturum açmayı merkezileştiriyorsanız, çoğu insanın vardığı açık kaynaklı kimlik sağlayıcısı Authentik'tir. Bu ileri düzey bir katman ve çekirdek yığının kapsamı dışında.
Dağıtım için, Vaultwarden kendi kendine barındırma kılavuzumuz dağıtım eşlikçisidir. Parola yöneticisi manzarasına daha derin bir bakış için, rehberimize bakın: en iyi kendi kendine barındırılan parola yöneticileri.
Bölümün anahtar çıkarımı: Vaultwarden, parola kasanızı ihlale açık satıcı altyapısının dışına taşır, ama yedekleme ve kurtarma yükünü sizin üzerinize koyar ve o yük gerçek.
Katman 3: Arama ve Tarama Katmanı (SearXNG)

Bir SearXNG örneği sorgunuzu alır, onu yukarı akış motorlarına (Google, Bing, DuckDuckGo, etkinleştirdiğiniz diğerleri) dağıtır, bazı tanımlayıcı parametreleri çıkarır ve birleşik bir sonuç sayfası döndürür.
Sorgularınız Google'a ulaşır, ama oturum açmış arama hesabınızdan değil, VPS'inizden gelen sorgular olarak ulaşır. Tek kullanıcılı bir örnek büyük bir anonimlik havuzu oluşturmaz, dolayısıyla yukarı akış motorları yine de sorgu kalıplarını o VPS IP'siyle ilişkilendirebilir.
Bu katmanın ele aldığı şey: arama sorgusu profillemesi, oturum açmış arama geçmişinize anahtarlanmış davranışsal reklam hedefleme ve bir arama hesabının uzun belleği. "Dün aradığım şey için neden reklam görüyorum" sorunu, arama hesabı düzeyinde azalır.
Ele almadığı şey: gerçekten tıklayıp geçtiğiniz sitelerce izleme. Üçüncü taraf sayfalardaki çerezler, parmak izi ve izleyiciler, arama tarafı değil tarayıcı tarafı bir sorundur. Bunu ele almak için sertleştirilmiş bir tarayıcı yapılandırması kullanın.
SearXNG, VPS'iniz ona yalnızca sorgularınızı gönderiyorsa sizi yukarı akış arama motorundan da anonimleştirmez; yoğun bir örnekten gelen toplu trafik tek kullanıcıları gürültüde gizler, ama tek kullanıcılı bir örnek yine de tek bir kullanıcının arama kalıbına benzeyebilir.
Whoogle Search daha hafif alternatif. Bir Google ön yüzü, daha basit ve tek bir şey yapar. SearXNG birden fazla motoru bir araya getirir, ki bu Google'dan ayrılma nedeniniz özellikle Google değilse daha yararlı. Gerçekten kaç kaynak istediğinize göre seçin.
Tek kullanıcılı örnekler için bir operasyonel not. SearXNG sorguları yukarı akış motorlarına iletir ve Google şüpheli trafik kalıplarını hız sınırlayabilir. Tek bir kullanıcı buna nadiren rastlar. Küçük bir herkese açık örnek rastlayabilir. Sorgular başarısız olmaya başlarsa, yukarı akış motoru sayısını azaltın, SearXNG'nin sınırlayıcı ayarlarını ayarlayın veya daha az düşmanca yukarı akış motorlarına daha çok yaslanın.
Bölümün anahtar çıkarımı: SearXNG, aramalarınızı VPS'iniz üzerinden proxy'ler ve onları oturum açmış arama hesabınızın dışında tutar. Doğrudan arama profillemesini azaltır, ama özel tek kullanıcılı bir örnek büyük bir anonimlik havuzu oluşturmaz.
Katman 4: Dosyalar ve Fotoğraflar Katmanı (Nextcloud AIO + Immich)

Nextcloud AIO, Nextcloud'un hepsi bir arada Docker dağıtımıdır ve çalışan bir dosya senkronizasyonu, takvim, kişiler ve belge işbirliği sunucusuna giden en az direnç gösteren yoldur.
Immich fotoğraf karşılığı: zaman tüneli görünümü, iOS ve Android'den mobil otomatik yükleme, kendi sunucunuzda veya seçtiğiniz ML ana bilgisayarında işlenen Google Photos tarzı yüz tanıma ve şu anda yayınlanan en kullanışlı Google Photos yedeği olduğu yönünde dürüst bir topluluk fikir birliği.
Bunlar hafif uygulamalar değil. Nextcloud AIO, 4 GB / 2 vCPU temel olarak ele alınmalı; Immich'in makine öğrenmesi, küçük resim oluşturma ve ilk kütüphane taraması verdiğiniz her şeyi kullanacak.
Bu katmanın ele aldığı şey: hassas bir kişisel kütüphaneyi bir satıcı hesabının içinde tutan bulut depolama satıcısı taraması, fotoğraf içerik tanıma ve bulut tarafı işleme ve dosyaları, fotoğrafları, aramayı, konum geçmişini ve kimlik sinyallerini tek bir şirket hesabı altında tutan hesap düzeyinde veri merkezileştirme.
Bunu kontrol ettiğiniz bir sunucuyla değiştirmek o merkezileştirmeyi kırar.
Ele almadığı şey: baytlar hâlâ VPS sağlayıcınızın işlettiği bir depolama biriminde yaşar. Durağan şifreleme sizin sorumluluğunuzdur, varsayılan olarak onların değil. Cihaz tarafı ele geçirme ayrı bir sorundur; telefonunuz root'luysa, üzerindeki Nextcloud istemcisi sunucunun nerede olduğundan bağımsız olarak açıktadır.
Tek ihtiyacınız "bu klasörleri cihazlarım arasında senkronize tutmak" ise, Syncthing daha basit araç. Eşler arası, ortada sunucu yok ve o tek işi iyi yapar. Nextcloud'un sağladığı takvim, kişiler ve işbirliği özelliklerinin yerine geçmez; dosya senkronizasyonu alt kümesinin yerine geçer.
Immich'e özel olarak, pratik bir boyutlandırma kuralı önemli. Nextcloud AIO, 4 GB / 2 vCPU temel olarak ele alınmalı. Immich, makine öğrenmesi, küçük resimler ve ilk kütüphane taraması devreye girdiğinde hafif bir fotoğraf yan bileşeni değil. Özellikle göç sırasında, Immich ağırlıklı kurulumlar için 6-8 GB RAM dolaylarında planlayın.
Dağıtım için, bir Nextcloud ile ownCloud karşılaştırması var, hâlâ ikisi arasında seçim yapan kullanıcılar için, ve alanı araştırıyorsanız daha geniş bir web arayüzlü kendi kendine barındırılan bulut platformları genel bakışı.
Bölümün anahtar çıkarımı: Nextcloud ve Immich, dosyaları ve fotoğrafları Google tarzı bulut hesaplarının dışına taşıyabilir, ama bu yığında ciddi RAM, depolama, yedekleme planlaması ve göç sabrı gerektiren ilk katman onlar.
Katman 5: İletişim Katmanı (Mattermost veya Rocket.Chat)

Slack çalışma alanları Slack tarafından aranabilir. Discord, ToS ihlalleri için içeriği tarar. Microsoft Teams, sohbet kayıtlarını tenant'ınızın politikaları altında saklar, ki bunlar BT kuruluşunuzun görebileceği politikalardır.
Bu yerlerden hiçbirinde yaşamaması gereken ekip veya aile sohbeti için, kendi kendine barındırılan bir Mattermost veya Rocket.Chat standart yanıttır. Bu katman, ekip arşivlerini SaaS'ın dışında tutmakla ilgilidir, özel uçtan uca sohbetle değil.
Bu katmanın ele aldığı şey: satıcı tarafı mesaj arşivleme, satıcı tarafı içerik tarama ve satıcı hesabınızın bir sorun olduğuna karar verdiğinde gerçekleşen erişim kaybı. Ekibinizin mesaj geçmişi sizin sunucunuzda oturur.
Ele almadığı şey, ve bu önemli: uçtan uca şifreleme. Mattermost ve Rocket.Chat varsayılan olarak E2EE değildir. Sunucu yöneticisi mesajları okuyabilir. Sunucu yöneticisi artık sizsiniz, ki bu bir SaaS satıcısının çalışanları olmasından daha iyi, ama ilke ekibinizin tehdit modeli için hâlâ önemli.
Birebir güvenli mesajlaşma için doğru yanıt, kendi kendine barındırılan bir sunucu değil, Signal'dir. İletişim katmanı varsayılan olarak E2EE olmalıysa, Matrix/Element'e bakın veya kişisel sohbetler için bunun yerine Signal kullanın. Kendi kendine barındırma, ekip mesajlaşmasını satıcı olmadan çözer; kişisel tehdit modelleri için Signal'in yerine geçmez.
Mattermost'a karşı Rocket.Chat. İkisi de geçerli. Mattermost daha sıkı, daha enterprise biçimli ve varsayılan olarak daha az isteğe bağlı özelliği açık. Rocket.Chat daha geniş, daha fazla kanal türünü entegre eder ve daha büyük bir eklenti ekosistemine sahip. Küçük bir ekip veya aile sohbetinin tipik gizlilik yığını kullanım durumu için ikisi de uygun.
2026 uyarısı: Mattermost'u dağıtmadan önce tam ücretsiz sürümü kontrol edin. Mattermost Entry'nin 10.000 mesajlık geçmiş sınırı var, Team Edition ise o sınırdan kaçınır ama kendi limitleri var. Rocket.Chat için, MongoDB, yüklemeler ve entegrasyonlar ek yük getirdiğinden, küçücük 1 GB'lık bir VPS'ten daha fazlasına bütçe ayırın.
Bölümün anahtar çıkarımı: Kendi kendine barındırılan bir Mattermost veya Rocket.Chat, ekibinizin sohbet arşivini bir SaaS satıcısından kaldırır, ama iki kişi arasında gerçek uçtan uca şifrelemeye ihtiyacınız varsa, doğru araç hâlâ Signal.
Neyi Kendi Kendine BarındırMAMALI (ve Neden)
Bir gizlilik yığınına ait gibi görünen bazı şeyler ait değildir. Onları listelemek, güvenmeye değer bir yığın kurmanın parçasıdır.
E-posta. Zaten bunu özellikle isteyen deneyimli bir Linux operatörü değilseniz e-postayı kendi kendine barındırmayın. PrivacyGuides'ın bu konuda net ve iyi bilinen bir duruşu var ve doğru olan o: yalnızca ileri düzey kullanıcılar kendi posta sunucularını çalıştırmalı. Nedenler teknik merak değil. SPF, DKIM ve DMARC yapılandırılmalı ve doğru tutulmalı.
IP itibarı kazanılmalı ve korunmalı. Spam filtreleme kalıcı bir durumdur. Gmail ile teslim edilebilirlik mücadelesi bir kurulum adımı değil; sürekli bir durumdur. Herkes için, yönetilen ve gizliliğe saygılı bir sağlayıcı bu katman için gerçekten doğru yanıttır.
Proton Mail, Tuta (eski adıyla Tutanota) ve Mailbox.org hepsi iyi seçenekler. Bu yazının katı bir kuralı: genel kitle gizliliği için e-postayı kendi kendine barındırmayın.
Bir VPS üzerinde ev ağınızın birincil DNS çözümleyicisi olarak Pi-hole. Pi-hole harika. Onu bir VPS'e tüm hanenizin internetinin özyinelemeli çözümleyicisi olarak koymak, VPS aksadığında evdeki herkes için interneti bozan tek bir hata noktasıdır. Pi-hole, evde bir Raspberry Pi'ye aittir. Bu yığının parçası değil.
Federe sosyal medya. Mastodon, Pleroma ve geri kalanı ilginç ve komşu. Ana kısıt benimsenme, gizlilik değil. Bazı insanlar için doğru yanıt onlar, ama kendi verinizi Big Tech'in sunucularından çıkarmaya odaklanan bir gizlilik yığınının çekirdeği değiller.
Anonimlik araçları. Tor, I2P, mixnet'ler. Farklı tehdit modeli, farklı yazı. Onlara ihtiyacınız varsa, zaten biliyorsunuz.
Özet: Proton Mail veya bir benzeri, bir spesifik katman için yönetilen bir alternatif ve bunu kabul etmek, kullanmaya değer bir yığının parçası. Kendi kendine barındırma, o sağlayıcıların tüm iş akışını kapsamadığı yerde yardımcı olur: fotoğraflar, arama, özel analitik ve ekip sohbeti. Genel kitle gizliliği için, e-posta, bu yığının dışa kaynak vermesi gereken tek katman.
Bölümün anahtar çıkarımı: Çoğu kullanıcı e-postayı kendi kendine barındırmamalı. Proton Mail gibi gizliliğe saygılı yönetilen bir sağlayıcı, o tek katman için gerçekten daha iyi yanıt ve bunu kabul etmek, güvenilir bir yığın kurmanın parçası.
Nerede Çalıştırmalı: VPS Boyutlandırma ve Yargı Yetkisi

Boyutlandırma sorusu soyut değil. Bu yığının üç pratik biçimi var: hafif gizlilik çekirdeği, dosyalar katmanı ve Immich makine öğrenmesini işin içine katan fotoğraf ağırlıklı sürüm. Birinden diğerine geçiş kozmetik değil. Dosyalar, küçük resimler, yüz tanıma ve ilk kütüphane göçü, küçük bir VPS'i uygun bir sunucu bütçesine çeviren şeyler.
| Dağıtım biçimi | Dahil edilen uygulamalar | Gerçekçi VPS tabanı |
|---|---|---|
| Minimum uygulanabilir yığın | WireGuard, Vaultwarden, SearXNG | 2 GB RAM / 1 vCPU |
| Nextcloud temel | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO | 4 GB RAM / 2 vCPU |
| Dosyalar ve fotoğraflar yığını | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich | 8 GB RAM / 4 vCPU |
| Depolama ve yedekleme notu | Çoğunlukla Nextcloud ve Immich | NVMe depolama + sunucu dışı yedeklemeler |
Tabloyu şöyle okuyun:
- Minimum yığın en yüksek getirili üç katmanı kapsar: ağ, kimlik ve arama.
- Nextcloud temel daha fazla boşluk gerektirir çünkü PHP, veritabanı işi, dosya indeksleme, senkronizasyon işleri ve web arayüzü hep birlikte çalışır.
- Dosyalar ve fotoğraflar yığını daha büyük bir bütçe gerektirir çünkü Immich makine öğrenmesi, küçük resimler, yüz tanıma ve ilk fotoğraf kütüphanesi taraması göç sırasında sunucuyu sert vurabilir.
- Depolama önemli çünkü hesaplama planın yalnızca yarısı. Dosyalar ve fotoğraflar büyümek için yere, VPS'ten uzakta yedeklemelere ve sunucu yoksa bile çalışan bir kurtarma yoluna ihtiyaç duyar.
Sonra yargı yetkisi var. Haziran 2025'te, Microsoft Fransız Parlamentosu'na tanıklık etti ve AB'de barındırılan verinin ABD yasal erişiminden korunacağını garanti edemeyeceğini söyledi. O tanıklık, veri egemenliği savını teoriden çıkarıp ana akım politika konuşmasına taşıdı.
Veri egemenliğine öncelik veren kullanıcılar için, şirket yargı yetkisi, veri merkezi konumu, sözleşmeler, şifreleme modeli ve yedekleme konumu hepsi önemli.
If CLOUD Act maruziyeti endişenin bir parçası; bir AB veri merkezini tek başına tüm yanıt olarak ele almayın. Avrupa bölgesine sahip ABD merkezli olmayan bir sağlayıcı, ABD merkezli bir hyperscaler'ın AB bölgesinden daha temiz bir uyum, ama bu yine de veriyi yasal olarak dokunulamaz kılmaz.
Uyarı: Yargı yetkisi sürtünme, dokunulmazlık değil. Bir Alman mahkeme kararı hâlâ bir mahkeme kararıdır. Bir Hollanda kararı da öyle. Bir İsviçre yasal talebi de. Avrupa barındırması, ABD merkezli bulut sağlayıcılarına bazı doğrudan maruziyeti azaltabilir ve yerel yasal süreç ekleyebilir, ama veriyi yasal olarak dokunulamaz kılmaz.
Çoğu okuyucunun tehdit modeli için, eklenen sürtünme yararlı. Sihirli bir kalkan değil.
Bölümün anahtar çıkarımı: Hafif yığın küçük bir VPS'te çalışabilir, ama dosyalar ve fotoğraflar bütçeyi değiştirir. Yalnızca Nextcloud temeli olarak 4 GB / 2 vCPU kullanın ve fotoğraf ağırlıklı bir Immich kurulumu için 8 GB / 4 vCPU'ya daha yakın planlayın. Cloudzy Marketplace, çekirdek uygulamalar için kurulum çabasını azaltır, yargı yetkisi ise görünmezlik değil yasal sürtünme ekler.
Kurulumu Projeye Dönüştürmeden Yığını Nasıl Dağıtırsınız
Her katmanı manuel olarak kurabilirsiniz. Kurulum işi cazibesinin bir parçasıysa bu iyi. Çoğu okuyucu için değil. Bu yığının amacı, Big Tech veri çekiminden uzaklaşmak, ilk uygulama bile çalışmadan önce bir hafta Docker, portlar, DNS ve hizmet dosyalarını ayıklayarak geçirmek değil.
Daha az sürtünmeli yol, çalışan bir VPS imajından başlamak ve oradan sertleştirmek. Cloudzy Marketplace WireGuard, Vaultwarden, SearXNG, Nextcloud AIO ve diğer kendi kendine barındırılan araçlar için tek tıkla VPS imajları içerir, böylece temel dağıtım hafta sonunu yiyen kısım değildir.
Hâlâ önemli olan iş, hiçbir marketplace'in sizin için yapamayacağı iş: DNS, güvenlik duvarı kuralları, yedeklemeler, erişim kontrolleri, güncellemeler ve kurtarma testi.
Altındaki sunucu da hâlâ önemli. Bu yığın depolama, ağ, bölge seçimi ve boşluk, yalnızca bir tablodaki uygulama adları değil. Cloudzy size NVMe destekli VPS altyapısı, tam root erişimi, 13 bölge, 40 Gbps ağ, %99,95 çalışma süresi ve 14 günlük para iade süresi verir.
WireGuard, Vaultwarden ve SearXNG için küçük başlayın. Nextcloud için yukarı çıkın. Makine öğrenmesi, küçük resimler ve fotoğraf göçü işin içine girdiğinde Immich için daha ciddi planlayın.
Nasıl Başlanır
Beş katman, her biri belirli bir tehdidi ele alır. Hiçbiri sizi görünmez kıldığını iddia etmez. Hepsi, şu anda varsayılan olarak kabul ettiğiniz belirli ticari veri maruziyetini azaltır.
En somut güncel sıkıntınızı ele alan tek katmanı seçin. Hiç bir ihlal bildirim e-postası açtıysanız, bu kimlik katmanı. Hiç ziyaret etmediğiniz siteler arasında sizi takip eden reklamlar fark ettiyseniz, bu arama katmanı. Onu dağıtın. Mimari ölçeklenir. Başlama kararı ölçeklenmek zorunda değil.
Herhangi bir tek katmanın kurulumu en fazla bir hafta sonu alır. Yapılandırma dosyaları kısa. Bunun bundan daha karmaşık olması için hiçbir neden yok.
Sıkça Sorulan Sorular
Bir VPS Üzerinde Kendi Kendine Barındırma Aslında Gizliliğimi Korur mu, Yoksa Sadece Farklı Bir Satıcıya mı Güveniyorum?
Evet, bu tehdit modeli için. Güveni, kullanıcı verisini paraya çeviren SaaS satıcılarından altyapı satan bir VPS sağlayıcısına kaydırır. Bu, ticari maruziyeti ve hizmetler arası profillemeyi azaltır, ama VPS meta verisini, ISP bağlantı kayıtlarını, ele geçirilmiş cihazları veya devlet düzeyinde gözetimi gizlemez.
Başlamam Gereken Minimum Kendi Kendine Barındırılan Gizlilik Yığını Nedir?
WireGuard, Vaultwarden ve SearXNG ile başlayın. Bunlar, 2 GB RAM'lik bir VPS'te ağ görünürlüğünü, parola satıcısı ihlal riskini ve oturum açmış arama profillemesini kapsar. Nextcloud'u daha sonra ekleyin; Immich'i ancak daha fazla RAM, depolama ve yedekleme disiplinine sahip olduktan sonra ekleyin.
Frankfurt veya Amsterdam'da Barındırma Gizlilik İçin Aslında ABD'den Daha mı İyi?
Avrupa bölgeleri, ABD merkezli sağlayıcılara bazı doğrudan maruziyeti azaltabilir, ama veriyi yasal olarak dokunulamaz kılmaz. Şirket yargı yetkisi, veri merkezi konumu, sözleşmeler, şifreleme ve yedekleme konumu hepsi önemli. Alman, Hollanda veya İsviçre yasal talepleri hâlâ geçerli olabilir.
Gizlilik İçin E-postamı Kendi Kendine Barındırmalı mıyım?
Neredeyse herkes için, hayır. E-posta kendi kendine barındırma SPF, DKIM, DMARC, IP itibarı, spam filtreleme ve sürekli teslim edilebilirlik işi gerektirir. Proton Mail, Tuta veya Mailbox.org gibi yönetilen bir gizlilik sağlayıcısı kullanın. PrivacyGuides, kendi kendine barındırılan e-postayı yalnızca ileri düzey kullanıcılar için önerir.
WireGuard Beni Aslında Neyden Korur?
WireGuard, trafiği VPS'iniz üzerinden yönlendirir ve ISP'nizin ile yerel ağınızın görebileceğini sınırlar. Çıkış trafiğini VPS sağlayıcısından gizlemez. Onlar hâlâ bağlantı meta verisini, hedef IP'leri, zamanlamayı ve hacmi görebilir. Bu, ISP'nizden gizlilik, görünmezlik değil.