Настройка Apache для скрытых сервисов сайтов .onion
Apache остаётся широко используемым веб-сервером с обширной поддержкой модулей, что делает его жизнеспособным выбором для скрытых сервисов Tor — особенно когда ваше приложение полагается на правила .htaccess или модули, специфичные для Apache. Это руководство проходит через конфигурацию Apache для безопасного обслуживания сайтов .onion, с упором на защиту приватности и предотвращение утечек.
Need this done for your project?
We implement, you ship. Async, documented, done in days.
Конфигурация портов Tor и Apache
Настройте Tor для переадресации трафика скрытого сервиса на Apache на localhost. Отредактируйте /etc/tor/torrc:
# /etc/tor/torrc
HiddenServiceDir /var/lib/tor/apache_onion/
HiddenServicePort 80 127.0.0.1:8080
HiddenServiceVersion 3Затем настройте Apache для прослушивания исключительно на интерфейсе loopback, отредактировав /etc/apache2/ports.conf:
# /etc/apache2/ports.conf
Listen 127.0.0.1:8080Это гарантирует, что Apache принимает подключения только от локального процесса Tor. Удалите любые директивы Listen 80 или Listen 443, которые раскроют Apache на общедоступных интерфейсах. Перезагрузите оба сервиса с помощью systemctl restart tor apache2.
VirtualHost Apache для .onion
Создайте VirtualHost специально для вашего адреса .onion. Это сохраняет конфигурацию в изоляции и предотвращает случайное обслуживание содержимого на других интерфейсах:
# /etc/apache2/sites-available/onion.conf
ServerName your56charv3onionaddress.onion
DocumentRoot /var/www/onion
# Отключить подпись сервера
ServerSignature Off
ServerTokens Prod
# Отключить листинг каталогов
Options -Indexes +FollowSymLinks
AllowOverride All
Require all granted
# Отключить логирование для приватности
ErrorLog /dev/null
CustomLog /dev/null combined
# Заголовки безопасности
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "no-referrer"
Header always unset X-Powered-By
Включите сайт и требуемые модули с помощью a2ensite onion.conf && a2enmod headers rewrite && systemctl reload apache2.
Защита приватности Apache для Tor
Apache раскрывает больше информации по умолчанию, чем Nginx, поэтому защита критична. Отключите модули, которые вам не нужны, чтобы уменьшить поверхность атаки:
# Отключить ненужные модули
a2dismod status info autoindex cgi
# В apache2.conf добавьте:
TraceEnable Off
FileETag NoneОтключите mod_status и mod_info, чтобы предотвратить раскрытие информации о сервере. Установите TraceEnable Off для блокирования HTTP TRACE запросов, которые могут использоваться для кроссайтовых трассирующих атак. Удалите значения FileETag, так как они могут раскрывать номера inode, которые определяют отпечаток вашего сервера.
Если используете PHP с Apache, настройте php.ini, чтобы установить expose_php = Off и session.cookie_httponly = 1. Эти небольшие изменения предотвращают объявление версии PHP и защищают файлы cookies сеанса от доступа JavaScript.
AnubizHost — управляемый хостинг Apache Tor
AnubizHost предлагает полностью управляемый хостинг Tor с предварительно настроенным и защищённым Apache для использования скрытых сервисов. Наша команда обрабатывает конфигурацию модулей, патчи безопасности и текущее обслуживание Tor, чтобы ваш сайт .onion оставался защищённым и производительным.
С офшорными серверами в Исландии, Румынии и Финляндии ваш скрытый сервис получает выгоду от сильных юрисдикций приватности и надёжной инфраструктуры. Зарегистрируйтесь анонимно с платежами в криптовалютах — Bitcoin, Monero, Litecoin и другие. Без KYC требуется, и ваш адрес .onion работает в течение нескольких минут после подготовки.
Related Services
Why Anubiz Host
Ready to get started?
Skip the research. Tell us what you need, and we'll scope it, implement it, and hand it back — fully documented and production-ready.