xmr.club
EN 中文 ES RU
← все гайды
гайд · разбор

Как поднять сервис как Tor hidden service

Эксплуатация Tor hidden service очень похожа на эксплуатацию обычного сайта, кроме одного ключевого момента: каждая утечка — навсегда. Ниже: минимальный рабочий сетап, наша текущая «только v3 onion» реальность и режимы отказа, которые сводят на нет купленную анонимность.

Зачем хоститься в Tor

  • Скрыть местоположение сервера. Нет DNS, нет публичного IP, нет AS-уровня атрибуции для случайного наблюдателя.
  • End-to-end шифрование по умолчанию — onion-рукопожатие заменяет TLS-через-CA. (Можно сверху положить TLS для совместимости, но не обязательно.)
  • Устойчивость к цензуре. Hidden service доступен оттуда, откуда есть Tor; нет домена для конфискации и нет IP для странового бана.
  • Оговорка: сокрытие местоположения сервера не скрывает того, что сервис делает. Логи, которые вы храните, аккаунты, которые принимаете, платёжные процессоры, на которых форвардите — всё то же.

В 2026 только v3 onion

v2 onion (короткие 16-символьные) задепрекейчены в 2021. Используйте только v3 (56-символьные). Лучшая криптография, поддержка client-auth, нет известных массовых deanon-атак. Если в туториале упоминается v2 — он устарел.

Минимально работающий сетап

  1. Поставьте Tor на тот же хост, где крутится сервис. apt install tor на Debian/Ubuntu, аналогично в других дистрах.
  2. Отредактируйте /etc/tor/torrc: 
    HiddenServiceDir /var/lib/tor/my-service/
HiddenServicePort 80 127.0.0.1:8080
HiddenServiceVersion 3
    (Порт 80 внутри hidden service маппится на тот порт, где слушает ваше локальное приложение.)
  3. Перезапустите Tor. systemctl restart tor.
  4. Прочитайте hostname. cat /var/lib/tor/my-service/hostname — это и есть ваш .onion-адрес.
  5. Проверьте. Откройте Tor Browser → вставьте .onion. Загружается = работает. Нет = смотрите логи Tor (/var/log/tor/log).

Операционные ловушки (которые реально кусаются)

  1. Рассинхрон часов. Если часы сервера уходят больше чем на несколько минут — дескриптор не опубликуется, и .onion гаснет. Поднимите chrony или systemd-timesyncd.
  2. Утечка реального IP через заголовки. Стандартный конфиг nginx логирует запрос и добавляет X-Forwarded-For или X-Real-IP по прокси. Если хоть один слой стека пишет реальный IP клиента в страницу (сообщение об ошибке, debug-заголовок, чат, эхообразно возвращающий ввод) — смысл .onion разрушен. Аудитьте каждый слой.
  3. Утечка Referer в clearnet. Исходящие ссылки с hidden service по умолчанию шлют .onion как Referer. Митигация: заголовок Referrer-Policy: no-referrer.
  4. Серверный tooling. Кошельки / БД / cron-задачи, которые ходят наружу мимо Tor, выдадут настоящий IP. Заверните весь egress в Tor или вырубите его на файрволле полностью.
  5. SSH на реальном IP-интерфейсе. Удобно для админа, ужасно для анонимности. Либо SSH тоже как отдельный hidden service, либо отключите пароли + только key-auth + нестандартный порт + fail2ban + смиритесь с остаточной утечкой.
  6. Простой дескриптора. Если daemon Tor лежит часами — дескриптор протухает, и нужно ждать ре-пропагации. Оставьте auto-restart через systemd на unit-е Tor.

Vanity-адреса .onion

Хотите, чтобы .onion начинался на нужные символы (например «xmrclub...») — берите mkp224o. Префикс в 8 символов считается часы на ноутбуке; более длинные растут экспоненциально. Хост генерации держите офлайн / изолированно — кто видит итоговый приватный ключ (hs_ed25519_secret_key), тот владеет адресом.

Заголовок Onion-Location (анонс для clearnet-посетителей)

Если у вас есть clearnet-версия, добавьте в ответ заголовок Onion-Location — Tor Browser покажет баннер «.onion available». Современный Tor Browser при первом визите автоматически перенаправляет:

Onion-Location: http://<ваш-56-симв-v3-onion>.onion$request_uri

Аудит onion-ов на xmr.club (/onion-audit) ежедневно опрашивает заголовок Onion-Location у каждого оператора и сверяет с тем .onion, который у нас в каталоге — расхождение между заголовком и адресом, опубликованным в других местах, всплывает сразу.

Авторизация клиента (продвинутое)

Если не хотите, чтобы hidden service был публично-просматриваемым — используйте v3 client-auth. Сервер требует pubkey клиента в конфиге; клиенты без подходящего ключа получают «permission denied» уже от самого Tor, до вашего приложения. Подходит для внутренних сервисов команды, support-порталов «только для клиентов» и т. д.

Хостинги, у которых Tor уже настроен

Если не хочется ставить Tor на VPS самому — picks ниже это no-KYC провайдеры, которые либо предконфигурируют Tor на managed-инстансах, либо без вопросов принимают вашу ручную установку. Платите XMR; всё равно относитесь к хосту как к мягкому противнику.

Picks

  • Njalla VPS — Privacy-friendly VPS, оплата XMR, к анониму дружелюбная поддержка — ставьте Tor сами, без вопросов.
  • 1984 Hosting — Базируется в Исландии, фокус на свободе слова. Принимает крипту. Без интереса к тому, что вы хостите.
  • Incognet — No-KYC хостинг + регистрация по email. Tor-зеркало.
  • Tor Browser — Проверьте hidden service из того же UA, что и ваши пользователи. Обязательно.