Einen Tor-v3-Hidden-Service selbst hosten.
Zwanzig Minuten bis zu Ihrem eigenen .onion.
Fünf Schritte von der Bereitstellung eines VPS zu einer aktiven 56-Zeichen-v3-Onion-Adresse, die nur über das Tor-Netzwerk erreichbar ist. Getestet auf Debian 12 mit dem offiziellen Tor-Project-Repository.
- 01
Bereitstellen
Ein nordischer VPS
- 02
Installieren
Offizielles Tor-Paket
- 03
Konfigurieren
Zwei Zeilen in torrc
- 04
Adresse holen
cat .../hostname
- 05
Absichern
Berechtigungen + Isolation
Jede nordische Bastion funktioniert. Tor übernimmt die Geografie.
Im Gegensatz zu einer Clearnet-Site ist es einem Hidden Service weitgehend egal, auf welcher physischen Bastion er läuft — Clients erreichen Sie über drei Tor-Relays, sodass die Latenz zur Bastion die Nutzererfahrung kaum beeinflusst. Wählen Sie die Bastion, in der Sie andere Workloads haben, oder die Jurisdiktion, die Ihrem Bedrohungsmodell am besten entspricht (siehe /guides/nordic-jurisdictions-for-privacy-hosting/).
Der Sentinel-Tarif ($5.90/Mon.) reicht problemlos für einen Hidden Service, der eine persönliche Seite, einen Tor-freundlichen SSH-Endpunkt oder einen kleinen Mastodon-Onion-Mirror hostet. Größere Hidden Services (Mastodon-Hauptinstanz, File-Sharing usw.) benötigen Garrison oder Ravelin für den zusätzlichen RAM und Speicher.
Offizielles Tor-Project-Repository, nicht das Distro-Paket.
Distribution-paketiertes Tor ist oft Monate hinter dem Upstream zurück und kann Sicherheitsfixes verpassen. Das eigene apt-Repository des Tor Projects verwenden:
apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org bookworm main" \
> /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring
Den Daemon auf Lebenszeichen prüfen: systemctl status tor — sollte Active (running) melden. Die Standardkonfiguration öffnet keine eingehenden Ports und betreibt Tor als Relay-only-Client; im nächsten Schritt wird es zu einem Hidden Service.
Zwei Zeilen in torrc. Das war es.
/etc/tor/torrc öffnen und hinzufügen:
HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80
Zwei Dinge zu wissen. (1) HiddenServiceDir ist der Ort, an dem Tor den privaten Schlüssel des Dienstes speichert (das Geheimnis, das die .onion-Adresse definiert). Tor erstellt das Verzeichnis beim ersten Start; den Inhalt nicht bearbeiten. (2) HiddenServicePort bildet den öffentlichen Port auf dem Onion auf einen lokalen Port ab — hier geht Port 80 auf dem Onion zu 127.0.0.1:80 (nginx, Apache, alles, was lokal lauscht). Weitere HiddenServicePort-Zeilen für zusätzliche Ports hinzufügen (HTTPS auf 443, SSH auf 22 usw.).
Was auch immer Sie als lokales Ziel binden (nginx, sshd, gitea), stellen Sie sicher, dass es auf 127.0.0.1 lauscht — nicht auf 0.0.0.0. Ein Dienst, der an 0.0.0.0 gebunden ist, ist auch über die öffentliche IP erreichbar, was die Hidden-Service-only-Prämisse untergräbt.
Tor neu starten. Hostname-Datei lesen.
Tor neu starten — Tor generiert dann das v3-Schlüsselpaar und die Adresse:
systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion
Diese 56-stellige base32-Zeichenkette, die auf .onion endet, ist Ihre Hidden-Service-Adresse. Sie leitet sich vom Ed25519-Public-Key in /var/lib/tor/my_service/hs_ed25519_public_key ab. Jeder mit der Adresse kann den Dienst über den Tor Browser (oder jeden Tor-fähigen Client) erreichen. Testen: Tor Browser öffnen, die Adresse einfügen, Enter drücken — Ihr Web-Dienst sollte antworten.
Sichern Sie den Inhalt von /var/lib/tor/my_service/ an einem sicheren Ort. Das Verlieren der Schlüssel bedeutet das Verlieren der .onion-Adresse — sie kann nicht wiederhergestellt werden. Das Teilen der Schlüssel bedeutet, dass jeder damit dieselbe .onion von jedem Server aus betreiben kann.
Berechtigungen, Isolation, Banner-Entfernung. Der langweilige, aber kritische Teil.
1. Prüfen, ob der Dienst als Benutzer debian-tor und nicht als root läuft. apt install erledigt das auf Debian/Ubuntu. Verifizieren: ps aux | grep tor — uid sollte nicht 0 sein.
2. Die Schlüssel sichern. chmod 700 /var/lib/tor/my_service/ — nur debian-tor kann lesen. Tor verweigert den Start, wenn das Verzeichnis weltweit lesbar ist.
3. Server-Banner entfernen. nginx: server_tokens off; im http-Kontext. Apache: ServerTokens Prod, ServerSignature Off. Web-App: X-Powered-By entfernen, Server: leer setzen, wenn Ihr Reverse-Proxy es erlaubt. Das Ziel ist, dass eine HTTP-Antwort vom .onion weder die IP noch den Hostnamen preisgibt.
4. Ausgehende DNS-Leaks deaktivieren. Ihre Web-App darf externe Domainnamen auf Anfrage nicht auflösen, sonst verlassen diese DNS-Abfragen den VPS über Clearnet. Die App so einstellen, dass sie Tors SOCKS-Proxy für ausgehende Anrufe verwendet (127.0.0.1:9050).
5. Onion-Location auf Ihrer Clearnet-Website setzen. Fügen Sie diesen Header zu Ihrer Clearnet-nginx-Konfiguration hinzu: add_header Onion-Location http://<your-onion>.onion$request_uri; — Tor-Browser-Nutzer erhalten jetzt eine Aufforderung zur automatischen Weiterleitung zur Onion.
Fragen, beantwortet.
Acht Fragen, die ein erstmaliger Hidden-Service-Betreiber stellt.
Was ist eine v3-Onion-Adresse und worin unterscheidet sie sich von v2?
Eine v3-Onion-Adresse ist eine 56-Zeichen-Base32-Zeichenfolge, die mit .onion endet und von einem Ed25519-Public-Key abgeleitet ist. v2 (seit 2021 von Tor veraltet und deaktiviert) verwendete ein 16-Zeichen-Base32 aus einem gekürzten RSA-1024-Schlüssel — kurz, aber kryptografisch viel schwächer. v3 hat einen stärkeren Schlüssel (Ed25519), bessere Verzeichnisdatenschutz (keine Aufzählung von Diensten), Unterstützung für Client-Autorisierung und ist die einzige noch operative Version. Wenn Sie eine 16-Zeichen-.onion-Adresse sehen, ist sie tot.
Leckt ein Tor-Hidden-Service meine Server-IP?
Ein korrekt konfigurierter tut das nicht. Tor verbindet sich von Ihrem VPS aus mit drei Tor-Relays (einem Guard, einem Middle, einem Rendezvous) und akzeptiert niemals direkte eingehende Verbindungen auf der VPS-IP. Der Hidden Service ist nur über den Tor-Schaltkreis erreichbar. Fehlkonfigurationen, die die IP DURCHSICKERN lassen: Betrieb des Dienstes auf einem öffentlichen Port (er sollte an 127.0.0.1 gebunden sein), DNS-Leaks aus der gehosteten Web-App, Server-Software-Banner, die die IP in ausgehende Antworten stempeln. Die untenstehende Standard-Checkliste behandelt jeden Punkt.
Kann mein VPS-Anbieter sehen, was sich auf dem Hidden Service befindet?
Ihr VPS-Anbieter sieht ausgehenden Tor-Traffic von Ihrem VPS — er weiß „dieser Server betreibt Tor”, aber nicht, welche Inhalte erreicht werden. Er kann nicht sehen, was auf dem Hidden Service von außen ist; er kann sehen, was auf der Festplatte von innen ist, wie jeder VPS-Anbieter. NordBastion greift nicht auf Kundenfestplatten zu, aber ein Server, den Sie nicht mit Vollverschlüsselung kontrollieren, ist ein Server, den ein Betreiber theoretisch lesen kann. Für absolute Hidden-Service-Privatsphäre LUKS mit einer Passphrase betreiben, die nur Sie haben — Servury packt das auf eigener Hardware von Haus aus, andere (NordBastion eingeschlossen) lassen es als kundenseitig installierbar.
Wie bekomme ich eine Vanity-.onion-Adresse (z. B. beginnend mit meinem Markennamen)?
mkp224o verwenden — ein Open-Source-Tool, das Ed25519-Schlüsselpaare brute-forciert, bis die resultierende v3-Adresse mit einem gewählten Präfix beginnt. Ein 4-Zeichen-Präfix wird auf einem modernen Laptop in Minuten gefunden; ein 7-Zeichen-Präfix dauert einige Stunden; 10+ Zeichen dauert Wochen bis Monate auf dedizierter Hardware. Die resultierende Onion-Adresse ist kryptographisch gültig — der Brute-Force findet nur den Schlüssel, dessen gehashter öffentlicher Teil zufällig mit den gewünschten Zeichen beginnt.
Wie schnell ist ein Hidden Service?
Langsamer als Clearnet. Tor routet durch drei Relays, sodass jede Hin- und Rückfahrt ~300–800 ms Latenz hinzufügt. Der Durchsatz ist durch das langsamste Relay im gewählten Circuit begrenzt; erwarten Sie 1–5 MB/s durchschnittlich für statische Inhalte, weniger für interaktive Workloads. Tor hat „HSDir bandwidth”-Optimierungen und HiddenServiceSingleHopMode für Fälle eingeführt, in denen dienstseitige Anonymität nicht erforderlich ist.
Soll ich HiddenServiceSingleHopMode verwenden?
Nur wenn Ihr Bedrohungsmodell akzeptiert, dass die DIENST-Seite öffentlich bekannt ist (z. B. haben Sie bereits veröffentlicht „diese Onion läuft auf meinem Server in Island”). Der Einzelsprung-Modus überspringt die Guard+Middle-Relays auf der Dienst-Seite und verbindet direkt mit dem Rendezvous, was schneller ist (200–400 ms weniger Latenz), aber die IP der Dienst-Seite nicht schützt. Clients erhalten auf ihrer Seite immer noch volle Drei-Sprung-Privatsphäre. Für einen Hidden Service, der serverseitige Anonymität benötigt, lassen Sie es deaktiviert (der Standard).
Kann ich einen Hidden Service auf demselben VPS wie meine Clearnet-Website betreiben?
Ja, und viele Seiten tun es. Der Clearnet-Webserver lauscht auf der öffentlichen IP an Port 80/443; der Tor-Hidden-Service zeigt auf denselben Webserver bei 127.0.0.1 auf denselben Ports. Beide erreichen denselben Inhalt. Zwei betriebliche Hinweise: (1) sicherstellen, dass der Webserver die öffentliche IP nicht in Header stempelt (Server, X-Real-IP, Hostname-Banner), und (2) den Onion-Location-HTTP-Header auf der Clearnet-Seite setzen, damit Tor-Browser-Nutzer automatisch zur Onion-Adresse weitergeleitet werden.
Was ist Vanguards / Vanguards-lite?
Ein Tor-Add-on (Vanguards), das den Guard-Relay auf der Dienstseite fixiert und eine Klasse von Angriffen mindert, bei denen ein Angreifer beobachtet, durch welche Guards der Dienst rotiert, und das zur Deanonymisierung nutzt. Vanguards-lite ist seit 0.4.7 in den Tor-Daemon eingebaut und standardmäßig für Hidden Services in aktuellen Tor-Versionen aktiviert — Sie müssen in der Regel nichts tun, um davon zu profitieren. Das vollständige Vanguards-Add-on ist für die meisten persönlichen Hidden Services überdimensioniert und hauptsächlich für hochwertige Ziele nützlich.
Einen VPS bestellen und Ihren Dienst auf die Onion bringen.
Zuletzt überprüft · 2026-05-20 · Getestet · Debian 12 · Tor 0.4.8+
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Your own WireGuard tunnel — server config, peer keys, kill-switch.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.