如何创建一个 Tor.onion 网站

Tor 隐藏服务使用 .onion 域名。这里将向你演示如何创建一个安全配置以阻止信息泄露、隐藏服务的 .onion 网站。

注意事项

• 不要在这台服务器上运行或做其它事情。
• 在新服务器或 VPS 上进行全新安装。
• 不要保留或运行来自 VPS 提供商那儿的任何服务。
• 用 Paypal 支付你的 VPS 服务，不过最好使用 Bitcoin。
• 不要向 VPS 提供关于你的任何身份信息。
• 不要在这台服务器上运行 Tor 中继，因为 Tor 中继在真实世界的公开 IP 是公开的。
• 不要从这台服务器发送电子邮件。
• 不要运行讨厌的或卑鄙的 Web 软件。如果你的 Web 软件有管理员登陆或管理员账号，把密码改成复杂的 26 个字符组成的密码。很多 Tor 网站被攻破只是某人猜到了管理员登陆密码。
• 避免使用任何 JavaScript 之类脚本的 Web 软件。
• 确保你的 Web 应用不会泄露任何错误信息或身份信息，比如在错误信息中的真实公开 IP。
• 审查 Web 前端代码，确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。
• 及时做好 VPS 的安全更新。

本文使用 Debian Wheezy , Nginx , Tor 提供 Web 服务。Nginx 将被配置为只监听 Tor，只可通过 Tor 访问。

Nginx

安装 Nginx

关闭 Nginx 版本信息

关闭 Nginx 日志

配置 Nginx 监听 localhost 8080 端口

Nginx网站默认根目录位置在 /usr/share/nginx/www 可修改配置文件更改目录

重启 Nginx

关闭并移除 rsyslog 以关闭系统日志

关闭并移除所有可被用来发送邮件的程序 (MTA)

移除 wget 防止受到恶意脚本攻击时不会受到损害

禁用 SSH 连接时的 Debian 版本信息

安装 Tor

按照 torproject.org 文档添加 Debian repo 在这里

配置Tor服务

确保下面几行配置正确

启动(或重启) Tor 服务

当 Tor 启动时，它会在你的 HiddenServiceDir 文件夹创建了私钥，和一个唯一的 .onion 域名。

下面是这些文件的样子。当然，你应该永远不要暴露或显示你的私钥！保密。下面的密钥是供演示和学习之用。

root@debian:~# cd /var/lib/tor/hidden_service/root@debian:/var/lib/tor/hidden_service# lshostname  private_keyroot@debian:/var/lib/tor/hidden_service# cat private_key

root@debian:/var/lib/tor/hidden_service# cat hostnamejuyy62wplbkk7gzy.onionroot@debian:/var/lib/tor/hidden_service#

配置并使用防火墙

启用防火墙，有选择地允许 22 端口。如果稍微偏执些，根本不要允许 22 端口，仅仅从提供商的控制面板控制台来管理。

运气好的话，你现在应该可以访问你 .onion 的网址了，默认是 Nginx 页面。