教你如何创建一个Tor.onion网站

注意事项

• 不要在这台服务器上运行或做其它事情。

• 在新服务器或 VPS 上进行全新安装。

• 不要保留或运行来自 VPS 提供商那儿的任何服务。

• 用 Paypal 支付你的 VPS 服务，不过最好使用 Bitcoin。

• 不要向 VPS 提供关于你的任何身份信息。

• 不要在这台服务器上运行 Tor 中继，因为 Tor 中继在真实世界的公开 IP 是公开的。

• 不要从这台服务器发送电子邮件。

• 不要运行讨厌的或卑鄙的 Web 软件。如果你的 Web 软件有管理员登陆或管理员账号，把密码改成复杂的 26 个字符组成的密码。很多 Tor 网站被攻破只是某人猜到了管理员登陆密码。

• 避免使用任何 JavaScript 之类脚本的 Web 软件。

• 确保你的 Web 应用不会泄露任何错误信息或身份信息，比如在错误信息中的真实公开 IP。

• 审查 Web 前端代码，确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。

• 及时做好 VPS 的安全更新。

本文使用 Debian Wheezy , Nginx , Tor 提供 Web 服务。Nginx 将被配置为只监听 Tor，只可通过 Tor 访问。

Nginx

安装 Nginx

1	apt-get install nginx

关闭 Nginx 版本信息

1	vim /etc/nginx/nginx.conf

1 2 3 4 5 6 7

http { ... server_tokens off; ...

关闭 Nginx 日志

1	vim /etc/nginx/nginx.conf

1 2 3 4 5 6 7 8 9 10 11 12 13

http { ... ## # Logging Settings ## #access_log /var/log/nginx/access.log; #error_log /var/log/nginx/error.log; error_log /dev/null crit;

配置 Nginx 监听 localhost 8080 端口

Nginx网站默认根目录位置在 /usr/share/nginx/www 可修改配置文件更改目录

1	vim /etc/nginx/sites-available/default

1 2 3 4 5 6 7 8 9 10 11

server { listen 127.0.0.1:8080 default_server; server_name localhost; root /usr/share/nginx/www; index index.html index.htm; location / { allow 127.0.0.1; deny all; } }

重启 Nginx

1	service nginx restart

关闭并移除 rsyslog 以关闭系统日志

1 2	service rsyslog stop apt-get remove --purge rsyslog

关闭并移除所有可被用来发送邮件的程序 (MTA)

1 2 3 4 5 6

service exim stop service postfix stop service sendmail stop apt-get remove --purge exim apt-get remove --purge postfix apt-get remove --purge sendmail

移除 wget 防止受到恶意脚本攻击时不会受到损害

1	apt-get remove wget

禁用 SSH 连接时的 Debian 版本信息

1	vim /etc/ssh/sshd_config

1	DebianBanner no

安装 Tor

按照 torproject.org 文档添加 Debian repo 在这里

1	apt-get install tor

配置Tor服务

确保下面几行配置正确

1	vim /etc/tor/torrc

1 2	HiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 80 127.0.0.1:8080

启动(或重启) Tor 服务

1	service tor start

当 Tor 启动时，它会在你的 HiddenServiceDir 文件夹创建了私钥，和一个唯一的 .onion 域名。

下面是这些文件的样子。当然，你应该永远不要暴露或显示你的私钥！保密。下面的密钥是供演示和学习之用。

root@debian:~# cd /var/lib/tor/hidden_service/

root@debian:/var/lib/tor/hidden_service# ls

hostname  private_key

root@debian:/var/lib/tor/hidden_service# cat private_key

5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

-----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQC9ymfMgQk12AFT4PXWV+XfmZ1tVDaGajya/jIuwnwtjFdMWe7m VDWMjs8Z02GGJhH6tIIpoDUrWLi+YchNHlQBi2AnBFzAoSlfRcvobeBAaWuQn+aH Uzr+xVXOADSIcfgtT5Yd13RKmUEKFV8AO9u652zYP1ss0l+S2mY/J/t/3wIDAQAB AoGAMjQwcPBRN2UENOP1I9XsgNFpy1nTcor3rShArg3UO1g8X34Kq/Lql1vPfM1l ps67Qs4tAEXYyraVaAcFrSCwp6MyeKYwxZtT7ki7q3rbMycvbYquxquh0uGy4aed K8XWjPrUv3yzQSYslOehVWMTH7xTzaOvp5uhpAlHFRqN5MECQQDmpFkXmtfEGwqT bRbKegRs9siNY6McWBCGrYc/BrpXEiK0j2QcrjC/dMJ4P9O4A94aG4NSI/005fII vxrOmD9VAkEA0qhBVWeZD7amfvPYChQo0B4ACZZdJlcUd/x1JSOYbVKvRCvJLxjT 5LMwg93jj2m386jXWx8n40Zcus6BTDr6YwJBAKH8E0ZszdVBWLAqEbOq9qjAuiHz NH+XqiOshCxTwVOdvRorCxjJjhspGdvyl/PJY5facuShuhgI13AlJ+KpMvECQHDJ l1lzw1bPc2uLgUM8MfHj7h8z+6G4hAQODmaZHVaDK8XzL59gyqqrajFgTyOM9emm n89w6flcxe9a+41mEoMCQBaM91yvrfp7N9BeDMCHlSDfAzX7sDqQn44ftHvZZI9V 4IouuRuLlqN0iaw4V73v3MUeqXoasmdeZ89bVGhVrC8= -----END RSA PRIVATE KEY-----

root@debian:/var/lib/tor/hidden_service# cat hostname

juyy62wplbkk7gzy.onion

root@debian:/var/lib/tor/hidden_service#

配置并使用防火墙

启用防火墙，有选择地允许 22 端口。如果稍微偏执些，根本不要允许 22 端口，仅仅从提供商的控制面板控制台来管理。

1 2 3

apt-get install ufw ufw allow ssh ufw enable

运气好的话，你现在应该可以访问你 .onion 的网址了，默认是 Nginx 页面。

---

---