NordBastion のホッキョクグマのマスコットが Nordic の石の地下霊廟オブザーバトリーにおり、深い紫のタマネギ形の大きな Tor シンボルが正面に浮かび、サイバーグリーンのマトリックスコードの雨がレイヤーの周囲に降り注いでいる

方法 · セルフホスト·読了10分 · 実践20分

Tor v3 隠しサービスを自己ホストします。
20分で自分の .onion を。

VPS のプロビジョニングから Tor ネットワーク経由でのみ到達可能なライブの56文字 v3 オニオンアドレスまで五つのステップ。公式 Tor Project リポジトリで Debian 12 でテスト済み。

5つのステップ

01
プロビジョニング
Nordic VPS
02
インストール
Tor 公式パッケージ
03
設定する
torrc の2行
04
アドレスを取得
cat .../hostname
05
ハードニング
権限 + 隔離

ステップ01 · プロビジョニング

どの Nordic バスティオンでも機能します。Tor が地理を担います。

クリアネットサイトとは異なり、隠しサービスはどの物理的なバスティオンに存在するかをあまり気にしません——クライアントは3つの Tor リレーを通じてあなたに到達するため、バスティオンへのレイテンシはユーザー体験にあまり影響しません。他のワークロードがあるバスティオン、または脅威モデルに最もマッチする管轄を選んでください（/guides/nordic-jurisdictions-for-privacy-hosting/ を参照）。

Sentinel ティア（月額 $5.90）は、個人サイト・Tor フレンドリーな SSH エンドポイント・小規模な Mastodon オニオンミラーをホストする隠しサービスには十分です。より大型の隠しサービス（Mastodon メインインスタンス、ファイル共有など）は、追加 RAM とディスクのために Garrison または Ravelin が必要です。

ステップ02 · インストール

Tor Project 公式リポジトリ、ディストリビューションのパッケージではありません。

ディストリビューションパッケージの Tor はしばしばアップストリームより数か月遅れており、セキュリティ修正を見逃す可能性があります。Tor Project 独自の apt リポジトリを使用してください：

apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
  https://deb.torproject.org/torproject.org bookworm main" \
  > /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring

デーモンが動作していることを確認します：systemctl status tor——Active（running）と表示されるはずです。デフォルト設定はインバウンドポートを開かず、Tor をリレーのみのクライアントとして実行します。次のステップで隠しサービスに変換します。

ステップ03 · 設定

torrc の2行。それだけです。

/etc/tor/torrc を開いて追加します：

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80

知っておくべき2つのこと。（1）HiddenServiceDir は Tor がサービスの秘密鍵（.onion アドレスを定義するシークレット）を保存する場所です。Tor は最初の起動時にディレクトリを作成します。内容を編集しないでください。（2）HiddenServicePort はオニオン上のパブリックポートをローカルポートにマッピングします——ここでは、オニオン上のポート80が 127.0.0.1:80（nginx、Apache、ローカルでリッスンしているもの）に向かいます。追加ポート（443 の HTTPS、22 の SSH など）には HiddenServicePort 行を追加します。

ローカルターゲットに何をバインドしても（nginx、sshd、gitea）、127.0.0.1 でリッスンしていることを確認してください——0.0.0.0 ではありません。0.0.0.0 にバインドされたサービスはパブリック IP でもアクセス可能であり、隠しサービスのみという前提を崩します。

ステップ04 · アドレスを取得

Tor を再起動します。hostname ファイルを読み込みます。

Tor を再起動すると、Tor が v3 鍵ペアとアドレスを生成します：

systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion

.onion で終わる56文字の base32 文字列がアドレスです。これは /var/lib/tor/my_service/hs_ed25519_public_key にある Ed25519 公開鍵から導出されます。アドレスを持つ誰でも Tor Browser（または Tor 対応クライアント）からサービスに到達できます。テスト方法：Tor Browser を開き、アドレスを貼り付けて Enter を押す——ウェブサービスが応答するはずです。

/var/lib/tor/my_service/ の内容を安全な場所にバックアップしてください。鍵を失うことは .onion アドレスを失うことを意味します — 回復できません。鍵を共有すると、所持者は誰でも任意のサーバーから同じ .onion を実行できます。

ステップ05 · 堅牢化

権限、隔離、バナーの除去。退屈だが重要な部分です。

1. サービスが root ではなく debian-tor ユーザーで動作していることを確認します。 Debian/Ubuntu では apt install がこれを処理します。確認：ps aux | grep tor——uid が0であってはなりません。

2. 鍵をロックします。 chmod 700 /var/lib/tor/my_service/ ——debian-tor のみが読み取れます。ディレクトリが world-readable の場合、Tor は起動を拒否します。

3. サーバーバナーを除去します。 nginx：http コンテキストで server_tokens off を設定。Apache：ServerTokens Prod、ServerSignature Off。ウェブアプリ：X-Powered-By を削除し、リバースプロキシが許可する場合は Server を空白に設定します。目標は .onion からの HTTP レスポンスが IP またはホスト名を漏洩しないことです。

4. アウトバウンド DNS リークを無効化します。 ウェブアプリはリクエスト時に外部ドメイン名を解決してはなりません。そうしないと、それらの DNS クエリがクリアネット経由で VPS を離れます。アウトバウンドコールには Tor の SOCKS プロキシ（127.0.0.1:9050）を使用するようアプリを設定してください。

5. クリアネットサイトに Onion-Location を設定します。 クリアネットの nginx 設定にこのヘッダーを追加します：add_header Onion-Location http://<your-onion>.onion$request_uri; — Tor Browser ユーザーはオニオンへ自動的にリダイレクトするプロンプトが表示されます。

FAQ · Tor

質問、回答済み。

初めての隠しサービスオペレーターが尋ねる八つの質問。

v3 オニオンアドレスとは何ですか？v2 とどう違いますか？

v3 オニオンアドレスは Ed25519 公開鍵から導出された .onion で終わる56文字の base32 文字列です。v2（Tor は2021年に廃止・無効化）は短縮 RSA-1024 鍵からの16文字 base32 を使用していました — 短いですが、暗号学的にははるかに脆弱です。v3 はより強力な鍵（Ed25519）、より優れたディレクトリプライバシー（サービスの列挙不可）、クライアント認証サポートを持ち、現在も動作する唯一のバージョンです。16文字の .onion アドレスを見かけたら、それは無効です。

Tor 隠しサービスはサーバーの IP を漏洩しますか？

正しく設定されていれば、漏洩しません。Tor は VPS から三つの Tor リレー（ガード、ミドル、ランデブー）に接続し、VPS の IP に直接インバウンド接続を受け付けません。隠しサービスは Tor 回路を通じてのみ到達可能です。IP が漏洩する設定ミス：サービスをパブリックポートで動かす（127.0.0.1 バインドにすべき）、ホストされたウェブアプリからの DNS 漏洩、サーバーソフトウェアがアウトバウンド応答に IP を刻印する。以下の標準チェックリストで各項目をカバーします。

VPS プロバイダーは隠しサービスの内容を見ることができますか？

VPS プロバイダーは VPS からのアウトバウンド Tor トラフィックを見ます——「このサーバーは Tor を実行している」は知りますが、アクセスされているコンテンツは知りません。外部から隠しサービスの内容を見ることはできません。内部からはディスクの内容を見ることができ、これはどの VPS プロバイダーも同様です。NordBastion は顧客ディスクにアクセスしませんが、完全ディスク暗号化で制御されていないサーバーは事業者が理論的に読み取れるサーバーです。絶対的な隠しサービスのプライバシーのためには、あなただけが持つパスフレーズで LUKS を実行してください——Servury は自社ハードウェアでこれをデフォルトでパッケージ化しており、他のプロバイダー（NordBastion を含む）は顧客がインストールするものとして残しています。

バニティの .onion アドレス（例：ブランド名で始まる）を取得するにはどうすればよいですか？

mkp224o を使用してください——Ed25519 鍵ペアを総当たりで生成し、結果の v3 アドレスが選択したプレフィックスで始まるまで続けるオープンソースツールです。4文字のプレフィックスは現代のラップトップで数分で見つかります。7文字では数時間、10文字以上は専用ハードウェアで数週間から数ヶ月かかります。結果のオニオンアドレスは暗号的に有効です——総当たりは公開部分のハッシュが望むキャラクターで始まる鍵を見つけるだけです。

隠しサービスはどのくらい速いですか？

クリアネットより低速です。Tor は3つのリレーを経由するため、各ラウンドトリップに約300-800ms のレイテンシが加わります。スループットは選択された回路で最も遅いリレーによりボトルネックになり、静的コンテンツで平均1-5 MB/s、インタラクティブなワークロードではさらに低下します。Tor はサービス側の匿名性が不要な場合向けに「HSDir bandwidth」最適化と HiddenServiceSingleHopMode を導入しました。

HiddenServiceSingleHopMode を使用すべきか？

脅威モデルがサービス側が公知であること（例：「このオニオンはアイスランドの私のサーバーで動作する」とすでに公開している）を許容する場合のみ。シングルホップモードはサービス側のガード+中間リレーをスキップしてランデブーに直接接続します。これにより高速化（200-400ms レイテンシ削減）しますが、サービス側の IP を保護しません。クライアントは依然として自分の側でフル3ホッドのプライバシーを得ます。サーバー側の匿名性が必要な隠しサービスには、無効のまま（デフォルト）にしてください。

クリアネットサイトと同じ VPS で隠しサービスを実行できますか？

はい、多くのサイトがそうしています。クリアネットウェブサーバーはポート80/443でパブリック IP でリッスンし、Tor 隠しサービスは同じポートで同じウェブサーバーを 127.0.0.1 で指します。両方が同じコンテンツに到達します。2つの運用上の注意：（1）ウェブサーバーがパブリック IP をヘッダー（Server、X-Real-IP、ホスト名バナー）に入れないようにしてください。（2）クリアネットサイトに Onion-Location HTTP ヘッダーを設定して、Tor Browser ユーザーがオニオンアドレスに自動リダイレクトされるようにしてください。

Vanguards / Vanguards-lite とは何ですか？

Tor のアドオン（Vanguards）はサービス側でガードリレーを固定し、攻撃者がサービスのガードローテーションを観察して匿名性を解除しようとする攻撃クラスを軽減します。Vanguards-lite は Tor 0.4.7 以降にデーモンへ組み込まれ、現行の Tor では隠しサービスにデフォルトで有効です — 通常は何もしなくても恩恵を受けられます。完全な Vanguards アドオンは大半の個人向け隠しサービスには過剰で、主に高価値ターゲット向けです。

準備完了