Auto-hospede um serviço oculto Tor v3.
Vinte minutos para o seu próprio .onion.
Cinco etapas do provisionamento de um VPS a um endereço onion v3 de 56 caracteres ao vivo acessível apenas pela rede Tor. Testado no Debian 12 com o repositório oficial do Projeto Tor.
- 01
Provisionar
Um VPS Nordic
- 02
Instalar
Pacote Tor oficial
- 03
Configurar
Duas linhas no torrc
- 04
Obter endereço
cat .../hostname
- 05
Fortalecer
Permissões + isolamento
Qualquer bastion Nordic funciona. O Tor cuida da geografia.
Ao contrário de um site na clearnet, um serviço oculto não se importa muito com qual bastion físico ele está — os clientes chegam até você por três relays Tor, então a latência até o bastion não afeta muito a experiência do usuário. Escolha o bastion onde você tem outros workloads, ou aquela jurisdição que melhor corresponda ao seu modelo de ameaça (veja /guides/nordic-jurisdictions-for-privacy-hosting/).
O plano Sentinel ($5,90/mês) é suficiente para um serviço oculto hospedando um site pessoal, um endpoint SSH compatível com Tor, ou um pequeno espelho onion do Mastodon. Serviços ocultos maiores (instância principal do Mastodon, compartilhamento de arquivos, etc.) precisam do Garrison ou Ravelin pelo RAM e disco adicionais.
Repositório oficial do Projeto Tor, não o pacote da distro.
O Tor empacotado pela distribuição geralmente está meses atrás do upstream e pode perder correções de segurança. Use o próprio repositório apt do Projeto Tor:
apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org bookworm main" \
> /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring
Verifique se o daemon está ativo: systemctl status tor — deve reportar Active (running). A configuração padrão não abre portas de entrada e executa o Tor apenas como cliente relay; vamos transformá-lo em um serviço oculto no próximo passo.
Duas linhas no torrc. É só isso.
Abra /etc/tor/torrc e adicione:
HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80
Duas coisas a saber. (1) O HiddenServiceDir é onde o Tor armazena a chave privada do serviço (o segredo que define o endereço .onion). O Tor cria o diretório na primeira inicialização; não edite o conteúdo. (2) O HiddenServicePort mapeia a porta pública no onion para uma porta local — aqui, a porta 80 no onion vai para 127.0.0.1:80 (nginx, Apache, qualquer coisa que escute localmente). Adicione mais linhas HiddenServicePort para portas adicionais (HTTPS na 443, SSH na 22, etc.).
Seja lá o que você vincular ao alvo local (nginx, sshd, gitea), certifique-se de que ele escute em 127.0.0.1 — não em 0.0.0.0. Um serviço vinculado a 0.0.0.0 também é acessível pelo IP público, o que derrota a premissa de serviço-oculto exclusivo.
Reinicie o Tor. Leia o arquivo hostname.
Reinicie o Tor e ele irá gerar o par de chaves v3 e o endereço:
systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion
Essa string base32 de 56 caracteres terminando em .onion é o endereço do seu serviço oculto. Ela é derivada da chave pública Ed25519 em /var/lib/tor/my_service/hs_ed25519_public_key. Qualquer pessoa com o endereço pode acessar o serviço pelo Tor Browser (ou qualquer cliente compatível com Tor). Teste: abra o Tor Browser, cole o endereço, pressione enter — seu serviço web deve responder.
Faça backup do conteúdo de /var/lib/tor/my_service/ em um lugar seguro. Perder as chaves significa perder o endereço .onion — ele não pode ser recuperado. Compartilhar as chaves significa que qualquer pessoa com elas pode executar o mesmo .onion a partir de qualquer servidor.
Permissões, isolamento, remoção de banners. A parte entediante mas crítica.
1. Verifique que o serviço roda como usuário debian-tor, não como root. O apt install cuida disso no Debian/Ubuntu. Verifique: ps aux | grep tor — o uid não deve ser 0.
2. Proteja as chaves. chmod 700 /var/lib/tor/my_service/ — apenas debian-tor pode ler. O Tor se recusa a iniciar se o diretório for legível por todos.
3. Remova os banners do servidor. nginx: server_tokens off; no contexto http. Apache: ServerTokens Prod, ServerSignature Off. Web-app: remova X-Powered-By, defina Server: em branco se o seu proxy reverso permitir. O objetivo é que uma resposta HTTP do .onion não vaze o IP ou o hostname.
4. Desative vazamentos de DNS de saída. Sua aplicação web não deve resolver nomes de domínio externos por requisição, ou essas consultas DNS saem do VPS pela clearnet. Configure o app para usar o proxy SOCKS do Tor para chamadas de saída (127.0.0.1:9050).
5. Configure o Onion-Location no seu site clearnet. Adicione este cabeçalho à sua configuração nginx clearnet: add_header Onion-Location http://<your-onion>.onion$request_uri; — os usuários do Tor Browser agora recebem um prompt para redirecionar ao onion automaticamente.
Perguntas, respondidas.
Oito perguntas que um operador de hidden service de primeira vez faz.
O que é um endereço onion v3 e como é diferente do v2?
Um endereço onion v3 é uma string base32 de 56 caracteres terminando em .onion, derivada de uma chave pública Ed25519. A v2 (obsoleta e desativada pelo Tor desde 2021) usava uma base32 de 16 caracteres de uma chave RSA-1024 truncada — curta, mas criptograficamente muito mais fraca. A v3 tem uma chave mais forte (Ed25519), melhor privacidade de diretório (sem enumeração de serviços), suporte a autorização de cliente, e é a única versão ainda operacional. Se você vir um endereço .onion de 16 caracteres, ele está morto.
Um Tor hidden service vaza o IP do meu servidor?
Um configurado corretamente não vaza. O Tor conecta de saída do seu VPS a três relays Tor (um guard, um middle, um rendezvous) e nunca aceita conexões de entrada diretamente no IP do VPS. O hidden service é acessado apenas pelo circuito Tor. Configurações incorretas que SIM vazam o IP: executar o serviço em uma porta pública (deveria estar vinculado a 127.0.0.1), vazamentos de DNS do aplicativo web hospedado, software do servidor estampando o IP nas respostas de saída. A lista de verificação padrão abaixo cobre cada um.
Meu provedor de VPS pode ver o que está no hidden service?
Seu provedor de VPS vê tráfego Tor de saída do seu VPS — eles sabem "este servidor roda Tor" mas não qual conteúdo é acessado. Eles não conseguem ver o que está no serviço oculto de fora; podem ver o que está no disco de dentro, como qualquer provedor de VPS. O NordBastion não acessa discos de clientes, mas um servidor que você não controla com criptografia de disco completo é um servidor que um operador pode teoricamente ler. Para privacidade absoluta do serviço oculto, execute LUKS com uma passphrase que apenas você tem — o Servury empacota isso de fábrica em hardware próprio, outros (NordBastion incluído) deixam como instalável pelo cliente.
Como obtenho um endereço .onion personalizado (ex.: começando com o nome da minha marca)?
Use o mkp224o — uma ferramenta de código aberto que força bruta pares de chaves Ed25519 até que o endereço v3 resultante comece com um prefixo escolhido. Um prefixo de 4 caracteres é encontrado em minutos em um laptop moderno; um prefixo de 7 caracteres leva algumas horas; 10+ caracteres leva semanas a meses em hardware dedicado. O endereço onion resultante é criptograficamente válido — a força bruta apenas encontra a chave cuja parte pública hash começa com os caracteres desejados.
Qual é a velocidade de um hidden service?
Mais lento que a clearnet. O Tor roteia por três relays, então cada round-trip adiciona ~300-800ms de latência. A taxa de transferência é limitada pelo relay mais lento no circuito escolhido; espere 1-5 MB/s em média para conteúdo estático, menos para workloads interativos. O Tor introduziu otimizações de "largura de banda HSDir" e o HiddenServiceSingleHopMode para casos em que o anonimato do lado do serviço não é necessário.
Devo usar o HiddenServiceSingleHopMode?
Somente se seu modelo de ameaça aceita que o lado do SERVIÇO é publicamente conhecido (ex.: você já publicou "este onion roda no meu servidor na Islândia"). O modo de salto único ignora os relays guard+middle no lado do serviço e se conecta diretamente ao ponto de encontro, que é mais rápido (200-400ms menos latência), mas não protege o IP do lado do serviço. Os clientes ainda têm privacidade completa de três saltos no lado deles. Para um hidden service que precisa de anonimato no lado do servidor, deixe desativado (o padrão).
Posso rodar um hidden service no mesmo VPS do meu site clearnet?
Sim, e muitos sites fazem isso. O servidor web na clearnet escuta no IP público nas portas 80/443; o serviço oculto Tor aponta para o mesmo servidor web em 127.0.0.1 nas mesmas portas. Ambos alcançam o mesmo conteúdo. Duas notas operacionais: (1) certifique-se de que o servidor web não grave o IP público nos cabeçalhos (Server, X-Real-IP, banners de hostname), e (2) defina o cabeçalho HTTP Onion-Location no site da clearnet para que os usuários do Tor Browser sejam redirecionados automaticamente para o endereço onion.
O que é o Vanguards / Vanguards-lite?
Um add-on para Tor (Vanguards) que fixa o guard relay no lado do serviço, mitigando uma classe de ataques em que um invasor observa por quais guards o serviço rotaciona e usa isso para desanonimizar. O Vanguards-lite está integrado ao daemon Tor desde a versão 0.4.7 e é ativado por padrão para hidden services nas versões atuais do Tor — geralmente você não precisa fazer nada para se beneficiar disso. O add-on completo Vanguards é excessivo para a maioria dos hidden services pessoais e útil principalmente para alvos de alto valor.
Solicite um VPS e coloque seu serviço no onion.
Última revisão · 2026-05-20 · Testado · Debian 12 · Tor 0.4.8+
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Your own WireGuard tunnel — server config, peer keys, kill-switch.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.