Запустите скрытый сервис Tor v3.
Двадцать минут до вашего собственного .onion.
Пять шагов от провизионирования VPS до живого 56-символьного v3 onion-адреса, доступного только через сеть Tor. Протестировано на Debian 12 с официальным репозиторием Tor Project.
- 01
Провизионирование
Nordic VPS
- 02
Установить
Официальный пакет Tor
- 03
Настроить
Две строки в torrc
- 04
Получить адрес
cat .../hostname
- 05
Усиление защиты
Права + изоляция
Подойдёт любой Nordic-бастион. Tor берёт на себя географию.
В отличие от clearnet-сайта, скрытому сервису не важно, на каком физическом бастионе он живёт — клиенты достигают вас через три Tor-ретранслятора, поэтому задержка до бастиона почти не влияет на пользовательский опыт. Выберите тот бастион, где у вас есть другие задачи, или ту юрисдикцию, которая лучше соответствует вашей модели угроз (см. /guides/nordic-jurisdictions-for-privacy-hosting/).
Тариф Sentinel ($5.90/мес.) вполне подходит для скрытого сервиса, хостящего личный сайт, Tor-совместимую точку SSH или небольшое Mastodon onion-зеркало. Более крупные скрытые сервисы (основной инстанс Mastodon, файлообмен и т.д.) требуют Garrison или Ravelin для дополнительного RAM и дискового пространства.
Официальный репозиторий Tor Project — не дистрибутивный пакет.
Tor из дистрибутивных пакетов нередко отстаёт от upstream на несколько месяцев и может не включать исправления безопасности. Используйте собственный apt-репозиторий Tor Project:
apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org bookworm main" \
> /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring
Проверьте, что демон запущен: systemctl status tor — должен сообщать Active (running). Конфигурация по умолчанию не открывает входящих портов и запускает Tor как клиент-ретранслятор; в следующем шаге мы превратим его в скрытый сервис.
Две строки в torrc. Всё.
Откройте /etc/tor/torrc и добавьте:
HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80
Две вещи, которые нужно знать. (1) HiddenServiceDir — место, где Tor хранит закрытый ключ сервиса (секрет, определяющий .onion-адрес). Tor создаёт директорию при первом запуске; не редактируйте содержимое. (2) HiddenServicePort сопоставляет публичный порт onion с локальным портом — здесь порт 80 onion указывает на 127.0.0.1:80 (nginx, Apache, всё, что слушает локально). Добавьте строки HiddenServicePort для дополнительных портов (HTTPS на 443, SSH на 22 и т.д.).
Чем бы вы ни связывали локальный целевой сервис (nginx, sshd, gitea), убедитесь, что он слушает на 127.0.0.1, а не на 0.0.0.0. Сервис, привязанный к 0.0.0.0, также доступен по публичному IP, что нарушает предпосылку только-скрытого-сервиса.
Перезапустите Tor. Прочитайте файл hostname.
Перезапустите Tor — Tor сгенерирует пару ключей v3 и адрес:
systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion
Эта 56-символьная строка base32, оканчивающаяся на .onion, — ваш адрес скрытого сервиса. Он получен из публичного ключа Ed25519 в /var/lib/tor/my_service/hs_ed25519_public_key. Любой, кто знает адрес, может получить доступ к сервису через Tor Browser (или любой Tor-совместимый клиент). Проверьте: откройте Tor Browser, вставьте адрес, нажмите Enter — ваш веб-сервис должен ответить.
Создайте резервную копию содержимого /var/lib/tor/my_service/ в надёжном месте. Потеря ключей означает потерю .onion-адреса — он не подлежит восстановлению. Передача ключей означает, что любой, у кого они есть, сможет запустить тот же .onion с любого сервера.
Права, изоляция, удаление баннеров. Скучная, но критически важная часть.
1. Убедитесь, что сервис запущен от пользователя debian-tor, а не root. apt install обрабатывает это на Debian/Ubuntu. Проверка: ps aux | grep tor — uid не должен быть 0.
2. Заблокируйте ключи. chmod 700 /var/lib/tor/my_service/ — только debian-tor может читать. Tor откажется запускаться, если директория доступна для чтения всем.
3. Уберите баннеры сервера. nginx: server_tokens off; в контексте http. Apache: ServerTokens Prod, ServerSignature Off. Веб-приложение: удалите X-Powered-By, установите Server: пусто, если ваш обратный прокси это позволяет. Цель — чтобы HTTP-ответ от .onion не раскрывал IP или имя хоста.
4. Отключите утечки исходящих DNS-запросов. Ваше веб-приложение не должно разрешать внешние доменные имена по запросу, иначе эти DNS-запросы покинут VPS через clearnet. Настройте приложение на использование SOCKS-прокси Tor для исходящих вызовов (127.0.0.1:9050).
5. Установите Onion-Location на вашем clearnet-сайте. Добавьте этот заголовок в конфигурацию clearnet nginx: add_header Onion-Location http://<your-onion>.onion$request_uri; — пользователи Tor Browser теперь будут получать предложение перейти на onion автоматически.
Вопросы, и ответы на них.
Восемь вопросов, которые начинающий оператор скрытого сервиса задаёт.
Что такое v3 onion-адрес и чем он отличается от v2?
v3 onion-адрес — это 56-символьная строка base32, оканчивающаяся на .onion, производная от публичного ключа Ed25519. v2 (устаревший и отключённый Tor с 2021 года) использовал 16-символьный base32 из усечённого ключа RSA-1024 — короткий, но криптографически значительно слабее. v3 имеет более сильный ключ (Ed25519), лучшую конфиденциальность директорий (без перечисления сервисов), поддержку авторизации клиентов и является единственной актуальной версией. Если вы видите 16-символьный .onion-адрес — он мёртв.
Раскрывает ли скрытый сервис Tor IP моего сервера?
Корректно настроенный скрытый сервис — нет. Tor устанавливает исходящие соединения с вашего VPS к трём Tor-ретрансляторам (guard, middle, rendezvous) и никогда не принимает входящие соединения напрямую на IP VPS. Скрытый сервис доступен только через Tor-цепочку. Неправильные настройки, которые ДЕЙСТВИТЕЛЬНО раскрывают IP: запуск сервиса на публичном порту (он должен быть привязан к 127.0.0.1), утечки DNS из размещённого веб-приложения, включение IP в исходящие ответы баннером серверного программного обеспечения. Стандартный чеклист ниже охватывает каждый из этих случаев.
Может ли мой VPS-провайдер видеть содержимое скрытого сервиса?
Ваш VPS-провайдер видит исходящий Tor-трафик с вашего VPS — он знает «этот сервер запускает Tor», но не то, какой контент достигается. Он не может видеть, что находится на скрытом сервисе снаружи; может видеть, что находится на диске изнутри, как и любой VPS-провайдер. NordBastion не обращается к дискам клиентов, но сервер, который вы не контролируете с помощью полного шифрования диска — это сервер, который оператор теоретически может прочитать. Для абсолютной конфиденциальности скрытого сервиса запустите LUKS с парольной фразой, известной только вам — Servury предоставляет это из коробки на собственном железе, другие (включая NordBastion) оставляют это как устанавливаемое клиентом.
Как получить vanity .onion-адрес (например, начинающийся с названия моего бренда)?
Используйте mkp224o — инструмент с открытым исходным кодом, который перебором находит пары ключей Ed25519, пока результирующий v3-адрес не начнётся с выбранного префикса. Префикс из 4 символов находится за минуты на современном ноутбуке; из 7 символов — за несколько часов; 10+ символов занимает недели или месяцы на специализированном железе. Полученный onion-адрес криптографически валиден — перебор лишь находит ключ, хэшированная публичная часть которого начинается с желаемых символов.
Насколько быстр скрытый сервис?
Медленнее, чем clearnet. Tor маршрутизирует через три ретранслятора, поэтому каждый цикл запрос-ответ добавляет ~300–800 мс задержки. Пропускная способность ограничена самым медленным ретранслятором в выбранном контуре; ожидайте 1–5 MB/s в среднем для статического контента, меньше для интерактивных задач. Tor внедрил оптимизации «HSDir bandwidth» и HiddenServiceSingleHopMode для случаев, когда анонимность на стороне сервиса не требуется.
Стоит ли использовать HiddenServiceSingleHopMode?
Только если ваша модель угроз допускает публичную известность СТОРОНЫ СЕРВИСА (например, вы уже опубликовали «этот onion работает на моём сервере в Исландии»). Режим одного хопа пропускает guard+middle ретрансляторы на стороне сервиса и подключается напрямую к rendezvous, что быстрее (на 200–400 мс меньше задержки), но не защищает IP стороны сервиса. Клиенты по-прежнему получают полную конфиденциальность трёх хопов на своей стороне. Для скрытого сервиса, которому нужна анонимность на стороне сервера, оставьте это отключённым (по умолчанию).
Могу ли я запустить скрытый сервис на том же VPS, что и мой clearnet-сайт?
Да, и многие сайты так делают. Clearnet-веб-сервер слушает на публичном IP на портах 80/443; Tor-скрытый сервис указывает на тот же веб-сервер на 127.0.0.1 на тех же портах. Оба открывают один и тот же контент. Два операционных замечания: (1) убедитесь, что веб-сервер не вставляет публичный IP в заголовки (Server, X-Real-IP, hostname-баннеры), и (2) установите HTTP-заголовок Onion-Location на clearnet-сайте, чтобы пользователи Tor Browser автоматически перенаправлялись на onion-адрес.
Что такое Vanguards / Vanguards-lite?
Дополнение Tor (Vanguards) фиксирует guard-ретранслятор на стороне сервиса, нейтрализуя класс атак, при которых злоумышленник отслеживает, какие guard-узлы использует сервис, и использует это для деанонимизации. Vanguards-lite встроен в Tor-демон начиная с версии 0.4.7 и включён по умолчанию для скрытых сервисов в актуальных версиях Tor — как правило, ничего делать не нужно. Полное дополнение Vanguards избыточно для большинства личных скрытых сервисов и полезно главным образом для высокозначимых целей.
Закажите VPS и разместите свой сервис в onion.
Последняя проверка · 2026-05-20 · Протестировано · Debian 12 · Tor 0.4.8+
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Your own WireGuard tunnel — server config, peer keys, kill-switch.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.