记者离岸服务器 - 在隐私司法管辖区保护您的新闻工作

调查性新闻工作中，数字基础设施的安全性直接决定了信源是否能够安全地提供信息，以及记者是否能够在不被监控的情况下开展工作。来自被报道对象的威胁通常包括：对托管商提出法律请求，要求披露网站运营者身份和服务器日志；对记者本人的社交工程和网络钓鱼攻击，试图获取账户访问权限；以及对服务器的直接技术攻击，试图获取储存的原始材料和通讯记录。

针对这些威胁，离岸托管解决了核心问题之一：司法管辖区风险。当法律请求需要经过陌生司法管辖区的法院审查，且当地法律对新闻自由和信源保护有强力支持时，请求方面临更高的法律门槛和更漫长的程序。对于报道跨国企业丑闻、政府腐败或权贵阶层的记者，这一时间窗口可能就是报道能否顺利发表的决定性因素。

SecureDrop是专为新闻机构设计的开源安全举报系统，通过Tor网络提供完全匿名的文件传输和通讯渠道。《卫报》《纽约时报》《华盛顿邮报》和数十家大型媒体机构均运营SecureDrop实例。在AnubizHost的离岸VPS上自建SecureDrop，让中小型新闻机构和独立记者也能拥有企业级安全的信源通讯渠道。

SecureDrop的典型部署需要两台服务器：一台应用服务器运行Web界面，通过Tor洋葱服务暴露给信源；一台监控服务器处理日志和系统状态。在技术要求上，SecureDrop需要Ubuntu 20.04或22.04 LTS操作系统，以及至少2个vCPU、4GB内存和100GB存储。AnubizHost的标准VPS方案满足这一需求，且在冰岛的离岸部署为SecureDrop实例提供额外的法律保护层，超出了标准SecureDrop安装在大型媒体机构本地服务器上的保护水平。

信源保护的技术实现需要在多个层面同时采取措施。服务器日志是最危险的信源身份暴露来源：Web服务器的访问日志记录了每个访客的IP地址和访问时间，即使信源通过Tor访问，错误配置的Tor设置也可能在日志中留下可识别的元数据。AnubizHost的基础设施层不保留网络流量日志，但服务器上的应用层日志是您控制的范围。

最佳实践是将Nginx或Apache的访问日志记录级别设置为最低，仅保留错误日志，或将日志管道发送到内存暂存后定期清空，不写入磁盘。对于信源通讯应用，使用在内存中处理数据而不写入磁盘的设计模式（如Signal协议的实现方式），确保即使服务器被物理查扣，也无法从磁盘上恢复历史通讯内容。结合冰岛的信源保护法律框架，这一技术层的日志最小化设计为您的新闻工作构建了双重保护。

离岸服务器本身只是记者数字安全体系的一个环节。完整的操作安全还需要以下配合：账户管理方面，使用Bitwarden或KeePassXC等密码管理器生成和存储强密码，对每个账户使用独一无二的密码，对关键账户启用TOTP二步验证而非短信验证（短信可被SIM卡劫持）。设备安全方面，用于处理敏感信源材料的设备应与日常工作设备分离，推荐使用Tails OS进行最高敏感度的工作，因为Tails不在磁盘上留下任何工作痕迹。网络安全方面，通过Tor浏览器或Tor网络访问和管理AnubizHost账户，确保管理操作不暴露您的真实IP地址。

对于与信源的初次联系，电子邮件不是安全渠道。应引导潜在信源使用Signal（提供电话号码后联系），或使用公开发布的SecureDrop地址。一旦建立了安全通讯渠道，后续的文件传输和通讯都应通过该渠道进行，避免退回到不安全的通讯方式。