你的名字会在哪里泄漏到服务器上
一台服务器的私密程度,只取决于它最薄弱的一环。你的身份可能在四个不同的点上被附着,其中任何一点的单次泄漏都会让整条链条瓦解:域名(公开的 WHOIS 记录)、托管账户(KYC 和账单身份)、付款(银行卡和银行转账直接映射到法律姓名),以及你随时间产生的运营元数据——复用的 SSH 密钥、回收利用的网名、一个你也用来购物的邮箱、一段在不同人设之间穿越的浏览器会话。
想要封堵这些点,是再普通不过且合法的事。记者保护消息源,活动人士保护自己,企业保护基础设施免受竞争对手和定向攻击之害,还有很多人单纯就是拒绝去喂养身份采集经济,理由不外乎把隐私当作一种默认偏好。这一切都不需要任何理由。这项工作是机械性的:刻意处理好每一层,让任何单一的记录、传票或抓取都无法收集到完整的全貌。
SP·02第一层:域名
公开的 WHOIS 过去会向全世界公布注册人的姓名、地址、邮箱和电话供人抓取。如今在 GDPR 之下,ICANN 默认会涂黑大多数个人字段,但注册商仍然持有你的真实信息,并且可能被强制交出——涂黑是一道帘子,而非一堵墙。有两步能加固它。第一,使用一家提供真正 WHOIS 隐私、而非转卖你数据的注册商。第二,优先选择 Njalla 式的注册商,它以自己的名义注册域名,并授予你使用该域名的合同权利:你的信息从一开始就不会成为记录在案的注册人。
能用加密货币就用加密货币向注册商付款,把域名账户绑定在一个你别处一概不用的网名和邮箱上,并把你的 DNS 运行在不会轻易追回到你身上的名称服务器上。如果域名和主机分属不同国家的不同公司,那么单凭任何一方都无法掌握完整的故事。
SP·03第二层:托管账户
大多数主机商在注册时就要求提供身份——姓名、地址,有时还要一份证件扫描件——而这条记录会在账户存续期间一直留在他们的账单系统里。无 KYC 主机商从设计上消除了这个泄漏点。在我们这里,整个账户就是一个网名加一个密码;用化名也没问题,档案里没有邮箱,任何环节都不做身份核验。我们在技术上持有的内容很简短,并在无 KYC 政策页面上逐项列明:你选择的网名(账户文件以它的 SHA-1 哈希作为键)、一个 argon2id 密码哈希、你的余额、你的订单规格,以及短暂轮换的服务器日志。这套内容里没有任何东西是你的法律姓名,因为我们从不收集它。
在这里,司法管辖比隐藏更重要。选择服务器实际坐落的地点,决定了哪些法院能强制做出任何事情。我们的立场是固定的,在你动手搭建之前值得了解:DMCA 通知一概不予处理或答复——DMCA 是一部美国法律,在我们的司法管辖区内没有效力——我们只对一份来自对该特定服务器拥有管辖权的法院的具有约束力的命令采取行动。请刻意挑选地区;配套指南如何选择离岸地点讲述了其中的权衡。
SP·04第三层:付款
付款是大多数私密方案悄然失守的地方。一张银行卡、一个 PayPal 账户或一笔银行转账会直接绑到你的法律身份,并在支付处理方那里留下永久记录,无论你在域名和主机上有多么小心。加密货币能切断这条链接——但并非所有加密货币都一样。Bitcoin 是假名性的,它的账本是公开且永久可追溯的;链上分析公司往往能把一笔 BTC 付款一路追回到一次用你的身份证件完成的交易所提现。Monero(XMR)默认即私密,凭借环签名、隐形地址和保密金额,让同样的分析变得不切实际,这正是它在我们的币种列表中名列前茅的原因。
我们的余额模式让购买行为本身也保持私密:你用 17 种货币中的任意一种(21 种币及网络变体)从 $30.00 起为账户充值,然后从该余额中支付服务器费用。没有任何按订单的支付处理方会看到你买了什么——它看到的只是一次充值,仅此而已。如果你必须使用 Bitcoin,就把它当作可追溯的,在充值前先通过一个无 KYC 的兑换来转换。把充值金额保持得不起眼,而不是一个在任何记录中都格外扎眼的大整数,并避免直接从携带你 KYC 指纹的交易所提现来注资,以免把它带进付款里。
SP·05第四层:运营卫生习惯
失守的很少是密码学——而是人。用 SSH 密钥而非密码来向你的服务器认证,并且每个项目使用专用密钥,这样一处被攻破也不会解锁一切。绝不要在任何会触及你真实身份的地方复用你私密方案里的网名、邮箱或密码;一个共用的登录凭证就会让所有人设崩塌。把这项工作放在它自己的浏览器配置文件或一台单独的虚拟机里,并且不要用你用于私密主机的那个出口 IP 去登录个人账户。
刻意把链条分散到不同的司法管辖区:注册商在一个国家,主机在另一个国家,付款通道在第三个国家,这样任何单一的法律请求都无法触及它的全部。也要留意那些悄无声息的泄漏——逃出隧道的 DNS 查询、一条点名指向你的 rDNS 记录、一段分析脚本、一条用你惯常的口吻从你惯常的地址写出的支持工单。让与订单相关的问题经由控制面板提出,而不是任何绑定到个人身份的渠道,并且每个项目保持单一且一致的人设,使各个人设永不交叉污染。隐私是持续不断的小选择的产物,而非某个巧妙的招数。
SP·06什么是合法的——什么不是
这一点需要明说。隐私是合法的。在不张扬自己姓名的情况下拥有一台服务器是合法的。用 Monero 付款是合法的。上述技术没有一项是违法行为,而把它们视为天生可疑,恰恰就是它们所要抵御的那种监控反射。
但匿名并非一张许可证,若暗示它是反倒不负责任。隐藏你的姓名并不会让一桩非法行为变得合法,也不会在一家对该服务器拥有管辖权的法院面前为你提供庇护。无 KYC 不等于无规则:我们的可接受使用政策禁止垃圾邮件、CSAM、恶意软件的命令与控制、发起拒绝服务攻击以及钓鱼,违反它就会让服务器被下线,无论它付款时有多么私密。本指南的目标是让普通、正当的活动免于大规模数据收集——而不是假装法律会止步于一道隐私帘子之前。
SP·07一个切合实际的威胁模型
让防护强度与对手相匹配。上述分层方案能可靠地击退日常威胁:数据经纪商、WHOIS 抓取程序、营销监控、好奇的 ISP,以及从泄露数据库顺藤摸瓜的机会主义攻击者。对绝大多数人而言,这些才是真正的风险,而堵住那四个关联点就能消除它们。
但它无法击败一个意志坚定、资源充足,且在你所选司法管辖区内拥有法律触角、并有耐心长期关联元数据的对手——而且它永远无法弥补你自己的失误。客户端上的恶意软件、复用的凭据、通过错误 IP 进行的个人登录,或一条不慎发出的消息,都会让完美的基础设施前功尽弃。所以请想清楚你实际要防范的是谁,照那个级别去搭建,并随着处境变化重新审视模型——一套对随手保护隐私足够用的配置,若你的暴露面增大,可能就需要加固。请记住,最薄弱的环节几乎总是键盘前的那个人,而不是加密技术。
