كيفية استضافة خدمة Tor المخفية

ما هي خدمة Tor المخفية

خدمة Tor المخفية — التي تُعرف أيضاً بخدمة onion — هي موقع إلكتروني أو تطبيق لا يمكن الوصول إليه إلا عبر شبكة Tor، على عنوان ينتهي بـ .onion. وخلافاً للموقع الاعتيادي، لا تمتلك هذه الخدمة عنوان IP عاماً ولا سجلاً في DNS. يصل إليها الزوار عبر Tor، وتُوجَّه الاتصالات بين الزائر والخادم بحيث لا يتعرّف أيٌّ منهما على موقع الطرف الآخر أو عنوان IP الخاص به.

يختلف هذا النموذج اختلافاً جوهرياً عن وضع موقع عادي خلف إجراءات لحماية الخصوصية، ويتفوق عليها. فمع خدمة onion، تكون إخفاء الهوية مُدمجاً في البروتوكول نفسه: موقع الخادم مخفيٌّ بتصميم البنية لا بتهيئة قابلة للخطأ. لا يوجد عنوان IP يمكن تسريبه، ولا سجل DNS يمكن استدعاؤه قانونياً، ولا IP استضافة يمكن مسحه أو مهاجمته. والعنوان نفسه مُشتَقّ من مفتاح تشفيري، فلا يمكن انتحاله. وهو بحق أقوى أشكال الاستضافة المجهولة المتاحة.

لماذا تستضيف خدمة مخفية

تستخدم خدمات onion طيفٌ واسع من المشغّلين المشروعين: منظمات إخبارية تدير خطوط مراسلة آمنة، وأنظمة SecureDrop التي يعتمد عليها الصحفيون، ومشاريع تُركّز على الخصوصية وتوفر مرايا مقاومة للرقابة، وأدوات المراسلة ومشاركة الملفات، وأفراد يرغبون ببساطة في موقع لا يستطيع أحد تحديد موقع خادمه. تدير منظمات كبرى — من صحف عالمية كبرى إلى مشاريع برمجية مشهورة — خدمات onion تحديداً لأنها متينة وموثوقة.

تتمحور الأسباب حول ثلاث خصائص. خصوصية الموقع: لا يمكن تحديد الخادم عبر IP، فلا يمكن تحديد موقعه الجغرافي ولا مسحه ولا مهاجمته مباشرةً. مقاومة الرقابة: لا يوجد IP أو نطاق يمكن لشبكة ما حجبه، فتظل الخدمة متاحة حتى حيث تُفلتَر المواقع العادية. التشفير الشامل: يُشفّر بروتوكول Tor الاتصال تلقائياً دون الحاجة إلى جهة إصدار شهادات. إذا كانت إحدى هذه الخصائص تهم مشروعك، فإن الخدمة المخفية تستحق التشغيل — وهذا الدليل يبني واحدة.

ما تحتاجه

المتطلبات متواضعة:

• VPS. خدمة onion خفيفة الحمل؛ تكفي خطة صغيرة. اختيار VPS بلا KYC وخارج الحدود الوطنية مهم هنا لسبب محدد مُفسَّر أدناه — فإخفاء هوية الخدمة يعتمد جزئياً على إخفاء هوية الخادم نفسه.
• تثبيت Linux جديد — Debian أو Ubuntu للأوامر الواردة هنا.
• متصفح Tor على جهازك الشخصي، للوصول إلى الخدمة المنتهية واختبارها.

لا تحتاج إلى اسم نطاق — إذ يُولَّد عنوان .onion تلقائياً — ولا إلى شهادة TLS، لأن Tor يوفر التشفير.

الخطوة 1 — إعداد الخادم وخدمة الويب

احجز VPS واتصل به عبر SSH. ثبّت ما يخدم المحتوى الخاص بك — لموقع بسيط، خادم ويب خفيف كـ nginx مثبَّت بالأمر apt install -y nginx هو الخيار المثالي.

تفصيل الإعداد المهم: اربط خادم الويب بـ localhost فقط. يجب أن تستمع خدمة الويب على [redacted-ip] لا على عنوان IP العام للخادم. سيتصل Tor بها محلياً؛ ولا ينبغي أن يصلها شيء مباشرةً من الإنترنت. الربط بـ localhost يعني أنه رغم امتلاك الخادم لعنوان IP عام، لا يُخدَّم الموقع عليه — فقط Tor يمكنه الوصول إلى المحتوى. تحقق من عمل الموقع محلياً بأمر سريع curl [redacted-ip] قبل المتابعة.

الخطوة 2 — تثبيت Tor وتهيئة خدمة onion

ثبّت Tor نفسه بالأمر apt install -y tor. ثم حرّر ملف إعداد Tor، /etc/tor/torrc، لتعريف الخدمة المخفية. يكفي سطران: HiddenServiceDir يشير إلى مجلد يخزّن Tor فيه مفاتيح الخدمة، وHiddenServicePort يُعيّن المنفذ الافتراضي 80 إلى خادم الويب المحلي — مثلاً HiddenServicePort 80 [redacted-ip].

أعد تشغيل Tor بالأمر systemctl restart tor. عند أول تشغيل، يُولّد Tor زوج المفاتيح التشفيري للخدمة في المجلد الذي حدّدته ويشتق منه عنوان .onion. يحتفظ هذا المجلد الآن بهوية خدمتك — احتفظ بنسخة احتياطية منه في مكان آمن وتأكد من أنه لا يقرأه إلا مستخدم Tor. من يمتلك هذه المفاتيح يستطيع انتحال هوية خدمتك؛ وإن فقدتها، فقدت العنوان إلى الأبد.

الخطوة 3 — احصل على عنوان .onion واختبره

يكتب Tor العنوان في ملف اسمه hostname داخل HiddenServiceDir. اقرأه بأمر cat وستجد عنواناً مؤلفاً من 56 حرفاً ينتهي بـ .onion — هذا هو العنوان العام لخدمتك.

افتح متصفح Tor على جهازك، الصق العنوان وحمّله. ينبغي أن تظهر خدمة الويب المحلية، مخدَّمةً بالكامل عبر Tor. قد يستغرق أول اتصال بضع ثوانٍ بينما يبني Tor الدائرة. هذا كل شيء — الخدمة حيّة، يمكن الوصول إليها من أي شخص يستخدم Tor، وموقع خادمها مخفيٌّ عن كل زائر.

الخطوة 4 — أحكم التأمين للحفاظ على إخفاء الهوية

خدمة onion تعمل لا تعني تلقائياً أنها مجهولة الهوية. البروتوكول يُخفي موقع الخادم عن الزوار — لكن عدة أخطاء قادرة على إبطال ذلك. الانضباط الذي يحافظ على إخفاء الهوية:

• اربط كل شيء بـ localhost. تحقق مجدداً من أن خادم الويب وأي قاعدة بيانات أو خادم خلفي لا تستمع إلا على [redacted-ip]. خدمة مكشوفة عن طريق الخطأ على IP العام يمكن ربطها بموقع onion وكشف هويته.
• احذف المحتوى المعرِّف. يمكن لترويسات الخادم وصفحات الأخطاء الافتراضية وسكريبتات التحليل والبيانات الوصفية في الملفات أن تكشف الخادم الحقيقي أو تربطه بمواقع أخرى. دقّق ما تُرسله الخدمة فعلاً.
• أدِر الخدمة بصورة مجهولة. صِل إلى الخادم للإدارة عبر Tor أيضاً — لا تتصل به مباشرةً بأمر SSH من عنوان IP المنزلي. خدمة onion تُخفي الخادم؛ لا تُبطل ذلك باتصالك الخاص.
• احرص على إخفاء هوية الخادم نفسه. هذا هو سبب أهمية VPS بلا KYC خارج الحدود: إذا ربط أحدٌ الخدمة بمضيفها رغم احتياطاتك، فينبغي أن يكون المضيف مزوداً لا يحتفظ بأي هوية للحساب ولا يسجّل سجلات. الخدمة المخفية والخادم المجهول يعزّزان بعضهما.
• عطّل كل ما يتصل بالخارج. البرمجيات التي تُنشئ اتصالات صادرة — تحديثات الإشعار، الخطوط الخارجية، واجهات API لجهات ثالثة — قادرة على كشف الخادم. اجعل الخدمة مكتفية بذاتها.

الخدمة المخفية أم الشبكة العلنية أم كلتاهما

لست مضطراً للاختيار حصراً. ثمة ثلاثة إعدادات معقولة. موقع مقتصر على الخدمة المخفية هو الأكثر خصوصية — لا بصمة على الشبكة العلنية إطلاقاً، مثالي لخط مراسلة أو خدمة يجب ألّا يكون بالإمكان تحديد موقعها. موقع علني مع مرآة onion يخدم الجمهور العادي باعتيادية مع توفير مسار خاص مقاوم للرقابة لمن يريده — هذا ما تفعله كبرى المنظمات الإخبارية. وموقع علني فقط، المشروح في دليلنا حول استضافة موقع بصورة مجهولة، أبسط حين لا تكون خصوصية الموقع على مستوى البروتوكول مطلوبة.

لأقوى قدر من إخفاء الهوية، الجواب هو خدمة مخفية فقط على VPS بلا KYC خارج الحدود: الخادم لا هوية مرفقة به، والخدمة لا IP لها يمكن اكتشافه، والكل متاح لأي شخص يستخدم Tor ولا يمكن تحديد موقعه من أحد. مع الانضباط الموضّح أعلاه، هذه استضافة مجهولة حقيقية — ليس كادّعاء تسويقي، بل كخاصية من خصائص البروتوكول.