Tor Gizli Servisi Nasıl Barındırılır

Tor gizli servisi nedir

Tor gizli servisi — onion servisi olarak da bilinir — yalnızca Tor ağı üzerinden, .onion ile biten bir adreste erişilebilen bir web sitesi veya uygulamadır. Sıradan bir web sitesinin aksine, genel bir IP adresi yoktur ve DNS'e kayıtlı değildir. Ziyaretçiler ona Tor aracılığıyla ulaşır; ziyaretçi ile sunucu arasındaki bağlantı, her iki tarafın da diğerinin konumunu veya IP'sini öğrenemeyeceği şekilde yönlendirilir.

Bu, normal bir web sitesini gizlilik önlemlerinin arkasına koymaktan farklı ve daha güçlü bir modeldir. Bir onion serviste anonimlik protokolün içine işlenmiştir: sunucunun konumu tasarım gereği gizlidir, yanlış yapılandırabileceğiniz bir ayar değildir. Sızdırılacak bir IP adresi yoktur, mahkeme emriyle alınacak bir DNS kaydı yoktur ve kimsenin tarayıp saldırabileceği bir barındırma IP'si yoktur. Adresin kendisi kriptografik bir anahtardan türetildiğinden taklit edilemez. Bu, gerçek anlamda mevcut en güçlü anonim barındırma biçimidir.

Neden gizli servis barındırmak isteyesiniz

Onion servisler çok çeşitli meşru operatörler tarafından kullanılmaktadır: güvenli ihbar hatları işleten haber kuruluşları, gazetecilerin güvendiği SecureDrop gönderim sistemleri, sansüre dayanıklı ayna sunan gizlilik odaklı projeler, mesajlaşma ve dosya paylaşım araçları ve yalnızca sunucu konumunun kimse tarafından belirlenemediği bir site isteyen bireyler. Büyük gazetelerden tanınmış yazılım projelerine kadar pek çok büyük kuruluş, tam da bu sağlamlıkları nedeniyle onion servisleri işletmektedir.

Sebepler üç özelliğe dayanmaktadır. Konum gizliliği: sunucu IP ile bulunamaz; dolayısıyla coğrafi konumu tespit edilemez, taranamaz ya da doğrudan saldırıya uğrayamaz. Sansüre dayanıklılık: engellenecek bir IP veya alan adı yoktur; bu nedenle servis, sıradan sitelerin filtrelendiği yerlerde de erişilebilir kalır. Uçtan uca şifreleme: Tor'un protokolü, hiçbir sertifika otoritesi devreye girmeden bağlantıyı varsayılan olarak şifreler. Bu özelliklerin herhangi biri projeniz için önemliyse, bir gizli servis çalıştırmaya değer — bu rehber de tam olarak bunu inşa eder.

Neye ihtiyacınız var

Gereksinimler mütevazıdır:

• Bir VPS. Onion servis hafiftir; küçük bir plan yeterlidir. No-KYC, offshore bir VPS seçmek burada özellikle önemlidir; aşağıda açıklanan belirli bir nedenden ötürü — servisin anonimliği kısmen sunucunun anonimliğine bağlıdır.
• Temiz bir Linux kurulumu — buradaki komutlar için Debian veya Ubuntu.
• Tor Browser kendi makinenizde; tamamlanmış servise ulaşmak ve test etmek için.

Bir alan adına ihtiyacınız yoktur — .onion adresi sizin için oluşturulur — ve Tor şifrelemeyi sağladığından bir TLS sertifikasına da ihtiyacınız yoktur.

Adım 1 — Sunucuyu ve bir web servisini kurun

VPS'i temin edin ve SSH üzerinden bağlanın. İçeriğinizi sunacak her şeyi kurun — basit bir site için nginx gibi hafif bir web sunucusu idealdir; apt install -y nginx komutuyla kurulur.

Önemli yapılandırma ayrıntısı: web sunucusunu yalnızca localhost'a bağlayın. Web servisi, sunucunun genel IP'si üzerinde değil, [redacted-ip] üzerinde dinlemelidir. Tor ona yerel olarak bağlanacaktır; internet üzerinden doğrudan hiçbir şey ona ulaşmamalıdır. Localhost'a bağlamak, kutunun genel bir IP'si olsa bile web sitesinin bu IP üzerinden sunulmadığı anlamına gelir — yalnızca Tor içeriğe ulaşabilir. Devam etmeden önce curl [redacted-ip] komutuyla sitenin yerel olarak çalıştığını doğrulayın.

Adım 2 — Tor'u kurun ve onion servisini yapılandırın

Tor'u apt install -y tor komutuyla kurun. Ardından Tor'un yapılandırma dosyasını, /etc/tor/torrc dosyasını düzenleyerek gizli servisi tanımlayın. İki satır yeterlidir: Tor'un servisin anahtarlarını saklayacağı bir dizini gösteren HiddenServiceDir ve sanal 80 numaralı bağlantı noktasını yerel web sunucunuzla eşleştiren HiddenServicePort — örneğin HiddenServicePort 80 [redacted-ip].

Tor'u systemctl restart tor komutuyla yeniden başlatın. İlk başlatmada Tor, belirttiğiniz dizinde servisin kriptografik anahtar çiftini oluşturur ve bundan .onion adresini türetir. Bu dizin artık servisinizin kimliğini barındırmaktadır — güvenli bir şekilde yedekleyin ve yalnızca Tor kullanıcısı tarafından okunabilir tutun. Bu anahtarlara sahip olan herkes servisinizi taklit edebilir; kaybederseniz adres sonsuza dek gider.

Adım 3 — .onion adresinizi alın ve test edin

Tor, adresi HiddenServiceDir içindeki hostname adlı bir dosyaya yazar. cat komutuyla okuyun; .onion ile biten 56 karakterli bir adres göreceksiniz — bu servisinizin genel adresidir.

Kendi bilgisayarınızda Tor Browser'ı açın, adresi yapıştırın ve yükleyin. Yalnızca localhost'ta çalışan web servisiniz, tamamen Tor üzerinden sunularak görünmelidir. Tor devreyi oluştururken ilk bağlantı birkaç saniye alabilir. İşte bu kadar — servis yayında, Tor'a sahip herkes tarafından erişilebilir ve sunucu konumu tüm ziyaretçilerden gizlidir.

Adım 4 — Anonimliği koruyacak şekilde kilitleyin

Çalışan bir onion servis otomatik olarak anonim değildir. Protokol, sunucunun konumunu ziyaretçilerden gizler — ancak birkaç hata bunu geçersiz kılabilir. Anonimliği koruyan disiplin:

• Her şeyi localhost'a bağlayın. Web sunucusunun ve varsa veritabanı ya da arka uç bileşenlerinin yalnızca [redacted-ip] üzerinde dinlediğini yeniden kontrol edin. Genel IP'de yanlışlıkla açık bırakılan bir servis onion sitesiyle eşleştirilerek kimliğini ifşa edebilir.
• Tanımlayıcı içerikleri temizleyin. Sunucu başlıkları, varsayılan hata sayfaları, analitik betikler ve dosyalardaki meta veriler gerçek sunucuyu sızdırabilir ya da onu başka sitelerle ilişkilendirebilir. Servisin gerçekte ne gönderdiğini denetleyin.
• Anonim olarak yönetin. Yönetim amacıyla da sunucuya Tor üzerinden erişin — ev IP'nizden doğrudan SSH bağlantısı kurmayın. Onion servis sunucuyu gizler; kendi bağlantınızla bunu geri almayın.
• Sunucunun kendisini anonim tutun. No-KYC, offshore VPS'in önemi buradan gelir: servis, aldığınız tüm önlemlere karşın bir gün barındırıcısıyla ilişkilendirilirse, barındırıcı hesap için hiçbir kimlik bilgisi tutmayan ve günlük kaydetmeyen bir sağlayıcı olmalıdır. Gizli servis ve anonim sunucu birbirini pekiştirir.
• Eve telefon eden her şeyi devre dışı bırakın. Güncelleme geri bildirimleri, harici fontlar, üçüncü taraf API'ler gibi giden bağlantılar yapan yazılımlar sunucuyu sızdırabilir. Servisi bağımsız tutun.

Gizli servis, clearnet veya ikisi birden

Yalnızca birini seçmek zorunda değilsiniz. Üç makul kurulum mevcuttur. Yalnızca gizli servis şeklinde bir site en gizli olanıdır — hiçbir clearnet ayak izi yoktur; ihbar hattı veya konumu tespit edilmemesi gereken bir servis için idealdir. Onion aynalı clearnet sitesi sıradan bir kitleye normal şekilde hizmet ederken, isteyenler için sansüre dayanıklı ve özel bir rota sunar — büyük haber kuruluşlarının yaptığı tam olarak budur. Yalnızca clearnet site ise, anonim barındırma konusundaki rehberimizde ele alındığı üzere, protokol düzeyinde konum gizliliği gerekmediğinde daha basit bir çözümdür.

En güçlü anonimlik için, no-KYC offshore VPS üzerinde yalnızca gizli servis cevaptır: sunucuya bağlı hiçbir kimlik yoktur, servisin bulunacak bir IP'si yoktur ve tüm yapı Tor'a sahip herkes tarafından erişilebilir, kimse tarafından konumu tespit edilemez haldedir. Yukarıdaki disiplinle kurulduğunda bu, gerçekten anonim barındırmadır — bir pazarlama iddiası olarak değil, protokolün bir özelliği olarak.