Tor v3 hidden service स्वयं होस्ट करें.
आपके अपने .onion तक बीस मिनट.
VPS provisioning से एक live, 56-character v3 onion address तक पाँच चरण जो केवल Tor network के माध्यम से reachable है. Official Tor Project repository के साथ Debian 12 पर tested.
- 01
Provision
एक Nordic VPS
- 02
Install करें
Official Tor package
- 03
कॉन्फ़िगर करें
torrc में दो lines
- 04
Address प्राप्त करें
cat .../hostname
- 05
Harden करें
Permissions + isolation
कोई भी Nordic bastion काम करता है. Tor geography करता है.
एक clearnet site के विपरीत, एक hidden service वास्तव में परवाह नहीं करती कि यह किस physical bastion पर है — clients आप तक तीन Tor relays के माध्यम से पहुंचते हैं, इसलिए bastion तक latency user experience को बहुत अधिक प्रभावित नहीं करती. जिस bastion में आपके अन्य workloads हैं, या जो jurisdiction आपके threat model से सबसे अच्छी तरह मेल खाती है उसे चुनें (देखें /guides/nordic-jurisdictions-for-privacy-hosting/).
Sentinel tier ($5.90/mo) एक personal site, एक tor-friendly SSH endpoint, या एक छोटे Mastodon onion mirror होस्ट करने वाली hidden service के लिए पर्याप्त है. बड़ी hidden services (Mastodon main instance, file-sharing, आदि) को अतिरिक्त RAM और disk के लिए Garrison या Ravelin चाहिए.
Official Tor Project repository, distro package नहीं.
Distribution-packaged Tor अक्सर upstream से महीनों पीछे होता है और security fixes को miss कर सकता है. Tor Project के अपने apt repository का उपयोग करें:
apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org bookworm main" \
> /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring
daemon के जीवित होने की verify करें: systemctl status tor — Active (running) रिपोर्ट करना चाहिए. default config कोई inbound ports नहीं खोलता और Tor को relay-only client के रूप में चलाता है; हम इसे अगले चरण में hidden service में बदलेंगे.
torrc में दो lines. बस इतना ही.
/etc/tor/torrc खोलें और जोड़ें:
HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80
दो चीजें जानें. (1) HiddenServiceDir वह जगह है जहां Tor service की private key store करता है (.onion address को define करने वाला secret). Tor पहले start पर directory बनाता है; contents संपादित न करें. (2) HiddenServicePort onion पर public port को एक local port पर map करता है — यहां, onion पर port 80 127.0.0.1:80 (nginx, Apache, कुछ भी locally listening) पर जाता है. अतिरिक्त ports (443 पर HTTPS, 22 पर SSH, आदि) के लिए और HiddenServicePort lines जोड़ें.
आप local target को जो भी bind करें (nginx, sshd, gitea), सुनिश्चित करें कि यह 127.0.0.1 पर listen करे — 0.0.0.0 पर नहीं. 0.0.0.0 से bound service public IP पर भी पहुंच योग्य है, जो hidden-service-only premise को विफल कर देती है.
Tor पुनः आरंभ करें. hostname फ़ाइल पढ़ें.
Tor पुनः आरंभ करें और Tor v3 key pair और address उत्पन्न करेगा:
systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion
वह 56-character base32 string जो .onion में समाप्त होती है, आपका hidden service address है. यह /var/lib/tor/my_service/hs_ed25519_public_key में Ed25519 public key से प्राप्त होती है. address वाला कोई भी Tor Browser (या किसी भी Tor-aware client) के माध्यम से service तक पहुंच सकता है. इसे test करें: Tor Browser खोलें, address paste करें, return दबाएं — आपकी web service को respond करना चाहिए.
/var/lib/tor/my_service/ की सामग्री को एक सुरक्षित स्थान पर backup करें. Keys खोने का अर्थ है .onion address खोना — इसे recover नहीं किया जा सकता. Keys share करने का अर्थ है कि उनके पास कोई भी किसी भी server से same .onion चला सकता है.
Permissions, isolation, banner-stripping. उबाऊ लेकिन critical हिस्सा.
1. सत्यापित करें कि service user debian-tor के रूप में चल रही है, न कि root के रूप में. Debian/Ubuntu पर apt install यह handle करता है. Verify करें: ps aux | grep tor — uid 0 नहीं होना चाहिए.
2. keys lock करें. chmod 700 /var/lib/tor/my_service/ — केवल debian-tor पढ़ सकता है. Tor start करने से मना करता है यदि directory world-readable हो.
3. server banners हटाएँ. nginx: server_tokens off; http context में. Apache: ServerTokens Prod, ServerSignature Off. Web-app: X-Powered-By हटाएं, Server: blank सेट करें यदि आपका reverse proxy इसकी अनुमति देता है. लक्ष्य यह है कि .onion से एक HTTP response IP या hostname leak न करे.
4. outbound DNS leaks बंद करें. आपका web app request पर external domain names resolve नहीं करना चाहिए, या वे DNS queries VPS से clearnet पर जाती हैं. outbound calls के लिए Tor के SOCKS proxy (127.0.0.1:9050) का उपयोग करने के लिए app सेट करें.
5. अपनी clearnet site पर Onion-Location सेट करें. अपने clearnet nginx config में यह header जोड़ें: add_header Onion-Location http://<your-onion>.onion$request_uri; — Tor Browser उपयोगकर्ताओं को अब onion पर स्वचालित रूप से redirect करने का prompt मिलता है.
प्रश्न, उत्तरित।
आठ प्रश्न जो एक first-time hidden-service operator पूछता है.
v3 onion address क्या है और यह v2 से कैसे अलग है?
एक v3 onion address एक 56-character base32 string है जो .onion में समाप्त होती है, एक Ed25519 public key से derived. v2 (Tor द्वारा 2021 से deprecated और disabled) एक truncated RSA-1024 key से 16-character base32 का उपयोग करता था — छोटा, लेकिन cryptographically बहुत कमज़ोर. v3 में एक मज़बूत key (Ed25519), बेहतर directory privacy (services की कोई enumeration नहीं), client authorisation support है, और एकमात्र संस्करण है जो अभी भी operational है. यदि आप एक 16-character .onion address देखते हैं, वह बंद है.
क्या एक Tor hidden service मेरा server IP leak करती है?
सही तरीके से configure किया गया नहीं करता. Tor आपके VPS से तीन Tor relays (एक guard, एक middle, एक rendezvous) से जुड़ता है और VPS IP पर सीधे inbound connections कभी स्वीकार नहीं करता. hidden service केवल Tor circuit के माध्यम से पहुँची जा सकती है. Misconfigurations जो IP leak करती हैं: service को एक public port पर चलाना (यह 127.0.0.1-bound होनी चाहिए), hosted web app से DNS leaks, server-software का outbound responses में IP को stamp करना. नीचे दी गई standard checklist प्रत्येक को cover करती है.
क्या मेरा VPS provider देख सकता है कि hidden service पर क्या है?
आपका VPS provider आपके VPS से outbound Tor traffic देखता है — वे जानते हैं "यह सर्वर Tor चलाता है" लेकिन कौन सी content तक पहुंची जाती है, नहीं. वे बाहर से hidden service पर क्या है नहीं देख सकते; वे अंदर से disk पर क्या है देख सकते हैं, जैसे कोई भी VPS provider. NordBastion customer disks तक access नहीं करता, लेकिन एक सर्वर जिसे आप full-disk encryption के साथ नियंत्रित नहीं करते वह एक ऐसा सर्वर है जिसे एक operator सैद्धांतिक रूप से पढ़ सकता है. absolute hidden-service privacy के लिए, केवल आपके पास passphrase के साथ LUKS चलाएं — Servury owned hardware पर इसे out of the box package करता है, अन्य (NordBastion सहित) इसे customer-installable के रूप में छोड़ते हैं.
मैं vanity .onion address (जैसे मेरे brand name से शुरू होने वाला) कैसे प्राप्त करूँ?
mkp224o उपयोग करें — एक open-source tool जो Ed25519 key pairs को तब तक brute-force करता है जब तक resulting v3 address एक चुने गए prefix से शुरू नहीं होता. एक modern laptop पर 4-character prefix मिनटों में मिलता है; 7-character prefix कुछ घंटे लेता है; 10+ characters dedicated hardware पर सप्ताहों से महीनों तक लेता है. resulting onion address cryptographically valid है — brute-force केवल वह key ढूंढता है जिसका hashed public part संयोगवश desired characters से शुरू होता है.
Hidden service कितनी तेज़ है?
clearnet से धीमा. Tor तीन relays के माध्यम से route करता है, इसलिए प्रत्येक round-trip ~300-800ms latency जोड़ता है. Throughput चुने गए circuit में सबसे धीमे relay द्वारा सीमित होता है; static content के लिए औसतन 1-5 MB/s की उम्मीद करें, interactive workloads के लिए कम. Tor ने उन मामलों के लिए "HSDir bandwidth" optimisations और HiddenServiceSingleHopMode पेश किया जहां service-side anonymity आवश्यक नहीं है.
क्या मुझे HiddenServiceSingleHopMode उपयोग करना चाहिए?
केवल तभी यदि आपका threat model मान लेता है कि SERVICE side publicly known है (जैसे, आपने पहले ही publish किया है "यह onion Iceland में मेरे server पर चलता है"). Single-hop mode service side पर guard+middle relays skip करता है और सीधे rendezvous से connect करता है, जो faster है (200-400ms कम latency) लेकिन service-side IP protect नहीं करता. Clients को अभी भी अपनी side पर full three-hop privacy मिलती है. एक hidden service के लिए जिसे server-side anonymity की ज़रूरत है, इसे disabled छोड़ें (default).
क्या मैं अपनी clearnet site के same VPS पर एक hidden service चला सकता हूँ?
हां, और कई sites ऐसा करती हैं. clearnet web server port 80/443 पर public IP पर listen करता है; Tor hidden service उसी web server को 127.0.0.1 पर उन्हीं ports पर point करती है. दोनों वही content तक पहुंचते हैं. दो operational notes: (1) सुनिश्चित करें कि web server public IP को headers में stamp न करे (Server, X-Real-IP, hostname banners), और (2) clearnet site पर Onion-Location HTTP header सेट करें ताकि Tor Browser उपयोगकर्ता onion address पर auto-redirect हों.
Vanguards / Vanguards-lite क्या है?
एक Tor add-on (Vanguards) जो service side पर guard relay को pin करता है, हमलों की एक श्रेणी को कम करता है जहाँ एक attacker देखता है कि service किन guards से गुज़रती है और उसका उपयोग deanonymise करने के लिए करता है. Vanguards-lite को 0.4.7 से Tor daemon में बनाया गया है और वर्तमान Tor versions में hidden services के लिए default रूप से सक्षम है — आपको आमतौर पर इससे लाभ उठाने के लिए कुछ करने की आवश्यकता नहीं है. पूर्ण Vanguards add-on अधिकतर personal hidden services के लिए अत्यधिक है और मुख्यतः high-value targets के लिए उपयोगी है.
एक VPS order करें और अपनी service को onion पर रखें.
अंतिम review · 2026-05-20 · परीक्षित · Debian 12 · Tor 0.4.8+
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Your own WireGuard tunnel — server config, peer keys, kill-switch.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.