Tor v3 gizli servis öz barındırın.
Kendi .onion adresinize yirmi dakika.
Bir VPS'i sağlamadan yalnızca Tor ağı aracılığıyla erişilebilen canlı, 56 karakterlik v3 onion adresine beş adım. Resmi Tor Projesi deposuyla Debian 12'de test edilmiştir.
- 01
Sağla
Nordic VPS
- 02
Kur
Resmi Tor paketi
- 03
Yapılandır
torrc içinde iki satır
- 04
Adres al
cat .../hostname
- 05
Sertleştir
İzinler + izolasyon
Herhangi bir Nordic bastion işe yarar. Tor coğrafyayla ilgilenir.
Clearnet sitesinden farklı olarak, gizli bir servis fiziksel olarak hangi bastiyonda bulunduğu konusunda fazla umursamaz — istemciler üç Tor aktarıcısı üzerinden size ulaşır, bu nedenle bastiyona gecikme kullanıcı deneyimini çok fazla etkilemez. Diğer iş yüklerinizin bulunduğu bastiyonu veya tehdit modelinizle en iyi örtüşen yetki alanını seçin (/guides/nordic-jurisdictions-for-privacy-hosting/ adresine bakın).
Sentinel katmanı (aylık $5,90), kişisel bir siteyi barındıran gizli bir servis, Tor uyumlu bir SSH uç noktası veya küçük bir Mastodon onion aynası için yeterlidir. Daha büyük gizli servisler (Mastodon ana örneği, dosya paylaşımı vb.) ek RAM ve disk için Garrison veya Ravelin ister.
Resmi Tor Projesi deposu, dağıtım paketi değil.
Dağıtım paketlenmiş Tor çoğunlukla upstream'in aylarca gerisindedir ve güvenlik düzeltmelerini kaçırabilir. Tor Projesinin kendi apt deposunu kullanın:
apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
| gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org bookworm main" \
> /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring
Daemon'ın çalışıp çalışmadığını doğrulayın: systemctl status tor — Aktif (çalışıyor) rapor etmelidir. Varsayılan yapılandırma gelen port açmaz ve Tor'u yalnızca aktarıcı istemci olarak çalıştırır; bir sonraki adımda onu gizli bir servise dönüştüreceğiz.
torrc içinde iki satır. Hepsi bu.
/etc/tor/torrc'yi açın ve ekleyin:
HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80
Bilinmesi gereken iki şey. (1) HiddenServiceDir, Tor'un servisin özel anahtarını sakladığı yerdir (.onion adresini tanımlayan sır). Tor dizini ilk başlatmada oluşturur; içeriği düzenlemeyin. (2) HiddenServicePort, onion üzerindeki genel portu yerel bir porta eşler — burada onion üzerindeki 80 portu 127.0.0.1:80'e (nginx, Apache, yerel olarak dinleyen her şey) gider. Ek portlar için daha fazla HiddenServicePort satırı ekleyin (443'te HTTPS, 22'de SSH vb.).
Yerel hedefi neye bağlarsanız bağlayın (nginx, sshd, gitea), 0.0.0.0 üzerinde değil 127.0.0.1 üzerinde dinlediğinden emin olun. 0.0.0.0'a bağlı bir servis aynı zamanda genel IP üzerinden de erişilebilirdir; bu durum yalnızca gizli servis önkabulünü bozar.
Tor'u yeniden başlatın. Hostname dosyasını okuyun.
Tor'u yeniden başlatın; Tor v3 anahtar çiftini ve adresi otomatik olarak oluşturacaktır:
systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion
.onion ile biten o 56 karakterlik base32 dizesi gizli servis adresinizdir. /var/lib/tor/my_service/hs_ed25519_public_key içindeki Ed25519 açık anahtarından türetilmiştir. Adrese sahip olan herkes, Tor Browser (veya Tor destekli herhangi bir istemci) aracılığıyla servise ulaşabilir. Test edin: Tor Browser'ı açın, adresi yapıştırın, Enter'a basın — web servisiniz yanıt vermelidir.
/var/lib/tor/my_service/ içeriğini güvenli bir yere yedekleyin. Anahtarları kaybetmek .onion adresini kaybetmek demektir — kurtarılamaz. Anahtarları paylaşmak, onlara sahip olan herkesin herhangi bir sunucudan aynı .onion'ı çalıştırabileceği anlamına gelir.
İzinler, izolasyon, banner kaldırma. Sıkıcı ama kritik kısım.
1. Servisin root olarak değil, debian-tor kullanıcısı olarak çalıştığını doğrulayın. apt install bunu Debian/Ubuntu'da halleder. Doğrulayın: ps aux | grep tor — uid 0 olmamalıdır.
2. Anahtarları kilitleyin. chmod 700 /var/lib/tor/my_service/ — yalnızca debian-tor okuyabilir. Dizin herkes tarafından okunabilir durumdaysa Tor başlamayı reddeder.
3. Sunucu bannerlarını kaldırın. nginx: http bağlamında server_tokens off;. Apache: ServerTokens Prod, ServerSignature Off. Web uygulaması: X-Powered-By'ı kaldırın, ters proxy'niz izin veriyorsa Server'ı boş ayarlayın. Amaç, .onion'dan gelen bir HTTP yanıtının IP veya hostname sızdırmamasıdır.
4. Giden DNS sızıntılarını devre dışı bırakın. Web uygulamanız istek üzerine harici alan adları çözmemeli; aksi hâlde bu DNS sorguları clearnet üzerinden VPS'den çıkar. Uygulamayı giden çağrılar için Tor'un SOCKS proxy'sini kullanacak şekilde ayarlayın (127.0.0.1:9050).
5. Clearnet sitenizde Onion-Location ayarlayın. Bu başlığı clearnet nginx yapılandırmanıza ekleyin: add_header Onion-Location http://<your-onion>.onion$request_uri; — Tor Browser kullanıcıları artık otomatik olarak onion'a yönlendirilmek için bir istem alır.
Sorular, yanıtlandı.
İlk kez gizli servis operatörünün sorduğu sekiz soru.
v3 onion adresi nedir ve v2'den farkı nedir?
Bir v3 onion adresi, Ed25519 açık anahtarından türetilen, .onion ile biten 56 karakterlik bir base32 dizesidir. v2 (Tor tarafından 2021'den beri kullanımdan kaldırılmış ve devre dışı bırakılmış), kısaltılmış bir RSA-1024 anahtarından 16 karakterlik base32 kullanıyordu — kısa ama kriptografik açıdan çok daha zayıf. v3 daha güçlü anahtara (Ed25519), daha iyi dizin gizliliğine (servis numaralandırması yok), istemci yetkilendirme desteğine sahiptir ve hâlâ çalışan tek sürümdür. 16 karakterlik bir .onion adresi görüyorsanız ölüdür.
Tor gizli hizmet sunucu IP'mi sızdırır mı?
Doğru yapılandırılmış biri sızdırmaz. Tor, VPS'inizden üç Tor aktarıcısına (bir koruma, bir orta, bir buluşma) bağlanır ve VPS IP'si üzerinde gelen bağlantıları doğrudan kabul etmez. Gizli servise yalnızca Tor devresi üzerinden ulaşılır. IP'yi sızdıran yanlış yapılandırmalar: servisin genel bir portta çalıştırılması (127.0.0.1'e bağlı olmalı), barındırılan web uygulamasından DNS sızıntıları, sunucu yazılımı bannerının IP'yi giden yanıtlara damgalaması. Aşağıdaki standart kontrol listesi her birini kapsar.
VPS sağlayıcım gizli serviste ne olduğunu görebilir mi?
VPS sağlayıcınız, VPS'inizden giden Tor trafiğini görür — "bu sunucu Tor çalıştırıyor" bilgisine sahip olurlar, ancak hangi içeriğe ulaşıldığına değil. Dışarıdan gizli serviste ne olduğunu göremezler; her VPS sağlayıcısı gibi içeriden diskte ne olduğunu görebilirler. NordBastion müşteri disklere erişmez; ancak tam disk şifreleme ile kontrol etmediğiniz bir sunucu, bir operatörün teorik olarak okuyabileceği bir sunucudur. Mutlak gizli servis gizliliği için, yalnızca sizin sahip olduğunuz bir parola ile LUKS çalıştırın — Servury bunu kendi donanımında kutudan çıkar çıkmaz sunar, diğerleri (NordBastion dahil) onu müşteri tarafından kurulabilir olarak bırakır.
Özel .onion adresi (örn. marka adımla başlayan) nasıl alırım?
mkp224o kullanın — elde edilen v3 adresi seçilen bir önek ile başlayana kadar Ed25519 anahtar çiftlerini kaba kuvvetle deneyen açık kaynaklı bir araç. 4 karakterlik önek modern bir dizüstü bilgisayarda dakikalar içinde bulunur; 7 karakterlik önek birkaç saat sürer; 10+ karakter özel donanımda haftalar ila aylar alır. Elde edilen onion adresi kriptografik olarak geçerlidir — kaba kuvvet yalnızca karma hale getirilmiş genel parçası istenen karakterlerle başlayan anahtarı bulur.
Gizli servis ne kadar hızlı?
Clearnet'ten daha yavaş. Tor üç aktarıcı üzerinden yönlendirir; bu nedenle her gidiş-dönüş yaklaşık 300-800 ms gecikme ekler. İş hacmi, seçilen devredeki en yavaş aktarıcı tarafından kısıtlanır; statik içerik için ortalama 1-5 MB/s bekleyin, etkileşimli iş yükleri için daha az. Tor, servis tarafı anonimliğinin gerekmediği durumlar için "HSDir bant genişliği" optimizasyonları ve HiddenServiceSingleHopMode'u tanıttı.
HiddenServiceSingleHopMode kullanmalı mıyım?
Yalnızca tehdit modeliniz SERVİS tarafının kamuya açık olduğunu kabul ediyorsa (örn. "bu onion İzlanda'daki sunucumda çalışıyor" zaten yayımladıysanız). Tek atlamalı mod, servis tarafındaki koruma+orta aktarıcıları atlar ve doğrudan buluşmaya bağlanır; bu daha hızlıdır (200-400ms daha az gecikme) ama servis tarafındaki IP'yi korumaz. İstemciler yine de kendi taraflarında tam üç atlamalı gizlilik alır. Sunucu tarafında anonimlik gerektiren gizli bir servis için devre dışı bırakın (varsayılan).
Clearnet sitemle aynı VPS üzerinde gizli servis çalıştırabilir miyim?
Evet, ve pek çok site bu yolu izler. Clearnet web sunucusu genel IP'de 80/443 portlarını dinler; Tor gizli servisi aynı portlarda 127.0.0.1'deki aynı web sunucusuna işaret eder. Her ikisi de aynı içeriğe ulaşır. İki operasyonel not: (1) web sunucusunun genel IP'yi başlıklara damgalamadığından emin olun (Server, X-Real-IP, hostname afişleri); (2) Tor Browser kullanıcılarının onion adresine otomatik yönlendirilmesi için clearnet sitede Onion-Location HTTP başlığını ayarlayın.
Vanguards / Vanguards-lite nedir?
Servis tarafında koruma aktarıcısını sabitleyen bir Tor eklentisi (Vanguards); saldırganın servisin hangi korumalar arasında döndüğünü gözlemleyip kimliğini deşifre etmek için kullandığı bir saldırı sınıfını azaltır. Vanguards-lite, 0.4.7'den itibaren Tor daemon'a entegre edilmiştir ve mevcut Tor sürümlerinde gizli servisler için varsayılan olarak etkindir — bundan yararlanmak için genellikle hiçbir şey yapmanız gerekmez. Tam Vanguards eklentisi, çoğu kişisel gizli servis için gereğinden fazladır ve esas olarak yüksek değerli hedefler için kullanışlıdır.
Bir VPS sipariş edin ve servisinizi onion'a koyun.
Son inceleme · 2026-05-20 · Test edildi · Debian 12 · Tor 0.4.8+
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Your own WireGuard tunnel — server config, peer keys, kill-switch.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.