Como Hospedar um Serviço Oculto Tor

O que é um serviço oculto Tor

Um serviço oculto Tor — também chamado de serviço onion — é um site ou aplicação acessível apenas pela rede Tor, em um endereço terminado em .onion. Ao contrário de um site convencional, não possui endereço IP público e não está registrado no DNS. Os visitantes o acessam pelo Tor, e a conexão entre visitante e servidor é roteada de forma que nenhum dos lados descobre a localização ou o IP do outro.

Trata-se de um modelo diferente e mais robusto do que colocar um site comum por trás de medidas de privacidade. Em um serviço onion, o anonimato está embutido no próprio protocolo: a localização do servidor é ocultada por design, não por uma configuração que você pode errar. Não há endereço IP para vazar, nenhum registro DNS para ser intimado judicialmente e nenhum IP de hospedagem para ser escaneado ou atacado. O próprio endereço é derivado de uma chave criptográfica, portanto não pode ser falsificado. É, em termos práticos, a forma mais robusta de hospedagem anônima disponível.

Por que hospedar um serviço oculto

Os serviços onion são usados por uma ampla gama de operadores legítimos: organizações de imprensa que mantêm linhas seguras para denúncias, os sistemas de submissão SecureDrop dos quais jornalistas dependem, projetos focados em privacidade que oferecem um espelho resistente à censura, ferramentas de mensagens e compartilhamento de arquivos, e pessoas que simplesmente querem um site cuja localização de servidor ninguém possa determinar. Grandes organizações — desde importantes jornais até projetos de software reconhecidos — operam serviços onion exatamente porque são robustos.

As razões se resumem a três propriedades. Privacidade de localização: o servidor não pode ser encontrado por IP, portanto não pode ser geolocalizado, escaneado ou atacado diretamente. Resistência à censura: não há IP ou domínio para uma rede bloquear, então o serviço permanece acessível onde sites comuns são filtrados. Criptografia de ponta a ponta: o protocolo Tor criptografa a conexão por padrão, sem envolver nenhuma autoridade certificadora. Se alguma dessas propriedades importa para o seu projeto, um serviço oculto vale a pena — e este guia mostra como construir um.

O que você precisa

Os requisitos são modestos:

• Um VPS. Um serviço onion é leve; um plano pequeno é suficiente. Escolher um VPS offshore sem KYC tem importância específica aqui por um motivo explicado abaixo — o anonimato do serviço depende em parte do anonimato do próprio servidor.
• Uma instalação Linux nova — Debian ou Ubuntu para os comandos desta guia.
• O Tor Browser em sua própria máquina, para acessar e testar o serviço finalizado.

Você não precisa de um nome de domínio — o endereço .onion é gerado automaticamente — e não precisa de um certificado TLS, pois o Tor fornece a criptografia.

Passo 1 — Configure o servidor e um serviço web

Provisione o VPS e conecte-se via SSH. Instale o que for servir seu conteúdo — para um site simples, um servidor web leve como nginx, instalado com apt install -y nginx, é ideal.

O detalhe de configuração importante: vincule o servidor web apenas ao localhost. O serviço web deve escutar em [redacted-ip], não no IP público do servidor. O Tor vai se conectar a ele localmente; nada deve acessá-lo diretamente pela internet. Vincular ao localhost significa que, mesmo que o servidor tenha um IP público, o site em si não é servido nele — apenas o Tor pode acessar o conteúdo. Confirme que o site funciona localmente com um rápido curl [redacted-ip] antes de continuar.

Passo 2 — Instale o Tor e configure o serviço onion

Instale o Tor com apt install -y tor. Em seguida, edite o arquivo de configuração do Tor, /etc/tor/torrc, para definir o serviço oculto. Duas linhas são suficientes: um HiddenServiceDir apontando para um diretório onde o Tor armazenará as chaves do serviço, e um HiddenServicePort mapeando a porta virtual 80 para seu servidor web local — por exemplo HiddenServicePort 80 [redacted-ip].

Reinicie o Tor com systemctl restart tor. Na primeira inicialização, o Tor gera o par de chaves criptográficas do serviço no diretório especificado e deriva o endereço .onion a partir dele. Esse diretório agora contém a identidade do seu serviço — faça backup com segurança e mantenha-o legível apenas pelo usuário Tor. Qualquer pessoa que possua essas chaves pode se passar pelo seu serviço; perca-as e o endereço se vai para sempre.

Passo 3 — Obtenha seu endereço .onion e teste-o

O Tor grava o endereço em um arquivo chamado hostname dentro do HiddenServiceDir. Leia-o com cat e você verá um endereço de 56 caracteres terminando em .onion — esse é o endereço público do seu serviço.

Abra o Tor Browser em seu computador, cole o endereço e carregue a página. Seu serviço web restrito ao localhost deve aparecer, servido inteiramente pelo Tor. A primeira conexão pode levar alguns segundos enquanto o Tor constrói o circuito. Pronto — o serviço está no ar, acessível por qualquer pessoa com Tor, e sua localização de servidor está oculta de todos os visitantes.

Passo 4 — Proteja-o para mantê-lo anônimo

Um serviço onion funcionando não é automaticamente anônimo. O protocolo oculta a localização do servidor dos visitantes — mas alguns erros podem desfazer isso. As práticas que mantêm o anonimato:

• Vincule tudo ao localhost. Verifique novamente que o servidor web, e qualquer banco de dados ou backend, escutam apenas em [redacted-ip]. Um serviço exposto acidentalmente no IP público pode ser correlacionado ao site onion e desanonimizá-lo.
• Remova conteúdo identificador. Banners de servidor, páginas de erro padrão, scripts de análise e metadados em arquivos podem todos vazar o servidor real ou vinculá-lo a outros sites. Audite o que o serviço realmente envia.
• Administre-o anonimamente. Acesse o servidor para administração também pelo Tor — nunca faça SSH diretamente a partir do seu IP residencial. O serviço onion oculta o servidor; não desfaça isso com sua própria conexão.
• Mantenha o servidor em si anônimo. É por isso que o VPS offshore sem KYC importa: se o serviço for algum dia correlacionado ao seu host apesar de suas precauções, o host deve ser um provedor que não guarda nenhuma identidade da conta e não mantém logs. O serviço oculto e o servidor anônimo se reforçam mutuamente.
• Desative tudo que se conecta externamente. Software que faz conexões de saída — pingbacks de atualização, fontes externas, APIs de terceiros — pode vazar o servidor. Mantenha o serviço autossuficiente.

Serviço oculto, clearnet ou ambos

Você não precisa escolher exclusivamente. Há três configurações sensatas. Um site exclusivamente como serviço oculto é o mais privado — sem presença na clearnet, ideal para uma linha de denúncias ou um serviço que não pode ser localizado. Um site na clearnet com um espelho onion atende um público comum normalmente enquanto oferece uma rota privada e resistente à censura para quem quiser — é o que grandes organizações de imprensa fazem. E um site apenas na clearnet, abordado em nosso guia sobre hospedagem anônima de sites, é mais simples quando a privacidade de localização no nível de protocolo não é necessária.

Para o máximo de anonimato, serviço oculto exclusivo em um VPS offshore sem KYC é a resposta: o servidor não tem nenhuma identidade vinculada, o serviço não tem IP a encontrar, e tudo é acessível por qualquer pessoa com Tor e localizável por ninguém. Configurado com as práticas acima, é hospedagem genuinamente anônima — não como argumento de marketing, mas como uma propriedade do protocolo.