تمثال الدب القطبي NordBastion في مرصد سرداب حجري Nordic مع رمز Tor كبير على شكل بصلة بنفسجي عميق يطفو أمامه ومطر كود Matrix أخضر إلكتروني يتساقط حول الطبقات
كيفية · الاستضافة الذاتية·10 دقائق قراءة · 20 دقيقة تطبيق

استضِف خدمة Tor v3 المخفية ذاتياً.
عشرون دقيقة إلى .onion الخاص بك.

خمس خطوات من توفير VPS إلى عنوان onion v3 مكوّن من 56 حرفًا نشط لا يمكن الوصول إليه إلا عبر شبكة Tor. تم اختباره على Debian 12 مع مستودع مشروع Tor الرسمي.

الخطوات الخمس
  1. 01

    التوفير

    VPS Nordic

  2. 02

    تثبيت

    حزمة Tor الرسمية

  3. 03

    إعداد

    سطران في torrc

  4. 04

    احصل على العنوان

    cat .../hostname

  5. 05

    التصليب الأمني

    الصلاحيات + العزل

الخطوة 01 · التزويد

أي حصن Nordic يصلح. Tor يتولى الجغرافيا.

خلافاً لموقع clearnet، الخدمة المخفية لا تهتم حقاً بأي حصن فيزيائي تعيش فيه — العملاء يصلون إليك عبر ثلاثة مُرحِّلات Tor، لذا لا يؤثر الكمون إلى الحصن كثيراً على تجربة المستخدم. اختر أي حصن لديك فيه أعباء عمل أخرى، أو أيهما يتطابق مع نموذج تهديدك (انظر /guides/nordic-jurisdictions-for-privacy-hosting/).

مستوى Sentinel (5.90$/شهرياً) يكفي لخدمة مخفية تستضيف موقعاً شخصياً، أو نقطة نهاية SSH صديقة لـ Tor، أو مرآة Mastodon onion صغيرة. الخدمات المخفية الأكبر (مثيل Mastodon الرئيسي، مشاركة الملفات، إلخ) تحتاج Garrison أو Ravelin لذاكرة RAM وقرص إضافيين.

الخطوة 02 · التثبيت

مستودع مشروع Tor الرسمي، لا حزمة التوزيعة.

غالبًا ما يتأخر Tor المُجمَّع في التوزيعات أشهرًا خلف المصدر الأصلي وقد يفتقد إصلاحات أمنية. استخدم مستودع apt الخاص بمشروع Tor:

apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
  https://deb.torproject.org/torproject.org bookworm main" \
  > /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring

تحقق من أن الخادم الخلفي حي: systemctl status tor — يجب أن يُبلِّغ Active (running). الإعداد الافتراضي لا يفتح منافذ واردة ويُشغِّل Tor كعميل مُرحِّل فقط؛ سنحوِّله إلى خدمة مخفية في الخطوة التالية.

الخطوة 03 · الإعداد

سطران في torrc. هذا كل شيء.

افتح /etc/tor/torrc وأضف:

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80

شيئان للمعرفة. (1) HiddenServiceDir هو المكان الذي يخزِّن فيه Tor المفتاح الخاص للخدمة (السر الذي يُعرِّف عنوان .onion). يُنشئ Tor الدليل عند أول تشغيل؛ لا تُحرِّر المحتويات. (2) HiddenServicePort يُعيِّن المنفذ العام على onion إلى منفذ محلي — هنا، المنفذ 80 على onion يذهب إلى 127.0.0.1:80 (nginx أو Apache أو أي شيء يستمع محلياً). أضف مزيداً من سطور HiddenServicePort لمنافذ إضافية (HTTPS على 443، SSH على 22، إلخ).

مهما ربطت الهدف المحلي به (nginx، sshd، gitea)، تأكد من أنه يستمع على 127.0.0.1 — لا على 0.0.0.0. الخدمة المرتبطة بـ 0.0.0.0 يمكن الوصول إليها أيضاً على IP العام، مما يُبطل فرضية الخدمة المخفية فقط.

الخطوة 04 · الحصول على العنوان

أعد تشغيل Tor. اقرأ ملف اسم المضيف.

أعد تشغيل Tor وسيُولّد Tor زوج مفاتيح v3 والعنوان:

systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion

هذه السلسلة base32 المؤلفة من 56 حرفاً والمنتهية بـ .onion هي عنوان خدمتك المخفية. مشتقة من مفتاح Ed25519 العام في /var/lib/tor/my_service/hs_ed25519_public_key. يستطيع أي شخص يمتلك العنوان الوصول إلى الخدمة عبر Tor Browser (أو أي عميل يُدرك Tor). اختبره: افتح Tor Browser، الصق العنوان، اضغط إدخال — يجب أن تستجيب خدمتك الإلكترونية.

احتفظ بنسخة احتياطية من محتويات /var/lib/tor/my_service/ في مكان آمن. فقدان المفاتيح يعني فقدان عنوان .onion إلى الأبد — ولا يمكن استرجاعه. مشاركة المفاتيح تعني أن أي شخص يمتلكها يمكنه تشغيل نفس عنوان .onion من أي خادم.

الخطوة 05 · التصليب

الصلاحيات والعزل وإزالة اللافتات. الجزء الممل لكن الحاسم.

1. تحقق من أن الخدمة تعمل بمستخدم debian-tor لا بمستخدم root. apt install يتعامل مع هذا على Debian/Ubuntu. تحقق: ps aux | grep tor — يجب ألا يكون uid هو 0.

2. أقفل المفاتيح. chmod 700 /var/lib/tor/my_service/ — فقط debian-tor يستطيع القراءة. Tor يرفض البدء إذا كان الدليل قابلاً للقراءة للجميع.

3. أزل إعلانات الخادم. nginx: server_tokens off; في سياق http. Apache: ServerTokens Prod، ServerSignature Off. تطبيق الويب: أزِل X-Powered-By، عيِّن Server: فارغ إذا سمح بذلك الوكيل العكسي. الهدف هو ألا تُسرِّب استجابة HTTP من .onion الـ IP أو اسم المضيف.

4. عطّل تسريبات DNS الصادرة. يجب أن لا يُحلِّل تطبيق الويب الخاص بك أسماء النطاقات الخارجية عند الطلب، وإلا ستغادر استعلامات DNS تلك VPS عبر clearnet. اضبط التطبيق لاستخدام SOCKS proxy لـ Tor للمكالمات الصادرة (127.0.0.1:9050).

5. عيّن Onion-Location على موقعك على الشبكة العادية. أضف هذه الترويسة إلى إعدادات nginx الخاصة بشبكتك العادية: add_header Onion-Location http://<your-onion>.onion$request_uri; — سيحصل مستخدمو Tor Browser الآن على مطالبة بإعادة التوجيه إلى onion تلقائياً.

الأسئلة الشائعة · Tor

أسئلة، أجوبة.

ثماني أسئلة يطرحها مشغّل خدمة خفية لأول مرة.

ما هو عنوان onion v3 وكيف يختلف عن v2؟

عنوان onion من الإصدار v3 سلسلة base32 مكونة من 56 حرفاً تنتهي بـ.onion، مستمدة من مفتاح عام Ed25519. الإصدار v2 (متقادم ومعطل من Tor منذ 2021) استخدم base32 مكونة من 16 حرفاً من مفتاح RSA-1024 مُبتر — قصير لكنه أضعف بكثير تشفيرياً. v3 يمتلك مفتاحاً أقوى (Ed25519) وخصوصية أفضل للدليل (لا تعداد للخدمات) ودعماً لترخيص العميل، وهو الإصدار الوحيد لا يزال تشغيلياً. إن رأيت عنوان .onion مكوناً من 16 حرفاً فهو معطل.

هل تكشف خدمة Tor الخفية عنوان IP الخادم؟

المُهيَّأ بشكل صحيح لا يفعل ذلك. يتصل Tor للخارج من VPS الخاص بك إلى ثلاثة مرحّلات Tor (حارس، وسيط، ونقطة تلاقٍ) ولا يقبل اتصالات واردة مباشرة على IP الـVPS. لا يمكن الوصول إلى الخدمة المخفية إلا عبر دائرة Tor. الإعدادات الخاطئة التي تُسرّب الـIP: تشغيل الخدمة على منفذ عام (يجب أن تكون مرتبطة بـ127.0.0.1)، وتسريبات DNS من التطبيق المستضاف، وبرامج الخادم التي تطبع الـIP في الردود الصادرة. قائمة التحقق الموحدة أدناه تغطي كل واحدة.

هل يمكن لمزود VPS رؤية محتوى الخدمة الخفية؟

مزوِّد VPS يرى حركة مرور Tor الصادرة من VPS الخاص بك — يعلمون "هذا السيرفر يُشغِّل Tor" لكن لا يعلمون أي محتوى يُصل إليه. لا يستطيعون رؤية ما هو موجود على الخدمة المخفية من الخارج؛ يستطيعون رؤية ما هو موجود على القرص من الداخل، كأي مزوِّد VPS. NordBastion لا تصل إلى أقراص العملاء، لكن السيرفر الذي لا تتحكم فيه بتشفير القرص الكامل هو سيرفر يستطيع المشغِّل نظرياً قراءته. لخصوصية مطلقة للخدمة المخفية، شغِّل LUKS مع عبارة مرور لك وحدك — Servury تُوفِّر ذلك جاهزاً على العتاد المملوك، وغيرها (بما في ذلك NordBastion) تتركه قابلاً للتثبيت من العميل.

كيف أحصل على عنوان .onion مخصص (مثلًا يبدأ باسم علامتي التجارية)؟

استخدم mkp224o — أداة مفتوحة المصدر تُطبِّق القوة العمياء على أزواج مفاتيح Ed25519 حتى يبدأ عنوان v3 الناتج بالبادئة المختارة. بادئة مؤلفة من 4 أحرف تُوجَد في دقائق على حاسوب محمول حديث؛ بادئة من 7 أحرف تستغرق بضع ساعات؛ 10+ أحرف تستغرق أسابيع إلى أشهر على عتاد مخصص. عنوان onion الناتج صالح تشفيرياً — القوة العمياء تجد فقط المفتاح الذي يبدأ جزؤه العام المُجزَّأ بالصدفة بالأحرف المطلوبة.

ما مدى سرعة الخدمة الخفية؟

أبطأ من clearnet. يمر Tor عبر ثلاثة مُرحِّلات، لذا يضيف كل رحلة ذهاب وإياب ~300-800ms من الكمون. يتعرض الإنتاجية لعنق الزجاجة عند أبطأ مُرحِّل في الدائرة المختارة؛ توقع 1-5 MB/s في المتوسط للمحتوى الثابت، وأقل لأعباء العمل التفاعلية. قدَّم Tor تحسينات "HSDir bandwidth" وHiddenServiceSingleHopMode للحالات التي لا تكون فيها مجهولية جانب الخدمة مطلوبة.

هل يجب استخدام HiddenServiceSingleHopMode؟

Only if your threat model accepts that the SERVICE side is publicly known (e.g., you have already published "this onion runs on my server in Iceland"). Single-hop mode skips the guard+middle relays on the service side and connects directly to the rendezvous, which is faster (200-400ms less latency) but does not protect the service-side IP. Clients still get full three-hop privacy on their side. For a hidden service that needs server-side anonymity, leave it disabled (the default).

هل يمكنني تشغيل خدمة خفية على نفس VPS لموقعي على الشبكة العلنية؟

نعم، وكثير من المواقع تفعل ذلك. خادم ويب clearnet يستمع على IP العام في المنفذ 80/443؛ خدمة Tor المخفية تُشير إلى نفس خادم الويب على 127.0.0.1 في نفس المنافذ. كلاهما يصلان إلى نفس المحتوى. ملاحظتان تشغيليتان: (1) تأكد من أن خادم الويب لا يُدرِج IP العام في الرؤوس (Server، X-Real-IP، لافتات اسم المضيف)، و(2) عيِّن رأس HTTP الخاص بـ Onion-Location على موقع clearnet بحيث يُعاد توجيه مستخدمو Tor Browser تلقائياً إلى عنوان onion.

ما هو Vanguards / Vanguards-lite؟

إضافة Tor تُعرف بـVanguards تُثبّت مرحّل الحراسة على جانب الخدمة، مما يُخفف فئة من الهجمات يرصد فيها المهاجم مرحّلات الحراسة التي تتناوب عليها الخدمة ويستخدم ذلك لكشف هويتها. Vanguards-lite مدمج في مشغّل Tor منذ الإصدار 0.4.7 وهو مُفعّل افتراضياً للخدمات المخفية في إصدارات Tor الحالية — لا تحتاج عادةً إلى فعل أي شيء للاستفادة منه. إضافة Vanguards الكاملة مبالغ في حجمها لمعظم الخدمات المخفية الشخصية وتفيد أساساً الأهداف عالية القيمة.

جاهز

اطلب VPS وضع خدمتك على onion.

انظر كتالوج VPS ثم: صلِّب VPS أو: WireGuard VPN

آخر مراجعة · 2026-05-20 · مُختبَر · Debian 12 · Tor 0.4.8+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

دليل الركيزة
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Self-host · network
WireGuard VPN on a VPS

Your own WireGuard tunnel — server config, peer keys, kill-switch.

Continue →
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
المدفوعات
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →