Запустите скрытые сервисы Tor в контейнерах Docker

Создайте минимальный образ Docker, который запускает демон Tor с конфигурацией скрытого сервиса:

# Dockerfile.tor
FROM debian:bookworm-slim

RUN apt-get update && apt-get install -y tor && \
    rm -rf /var/lib/apt/lists/*

COPY torrc /etc/tor/torrc

RUN chown -R debian-tor:debian-tor /var/lib/tor
USER debian-tor

ENTRYPOINT ["tor", "-f", "/etc/tor/torrc"]

Соответствующий файл torrc должен указывать на томы для каталога скрытого сервиса:

# torrc
SocksPort 0
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 web:80
HiddenServiceVersion 3
Log notice stdout

Обратите внимание, что HiddenServicePort указывает на web:80 — это имя сервиса Docker Compose для контейнера веб-сервера, разрешаемое через внутренний DNS Docker.

Используйте Docker Compose для оркестрации демона Tor наряду с вашим приложением с правильной изоляцией сети:

# docker-compose.yml
version: "3.8"

services:
  tor:
    build:
      context: .
      dockerfile: Dockerfile.tor
    volumes:
      - tor-keys:/var/lib/tor/hidden_service
    networks:
      - tor-net
    restart: unless-stopped

  web:
    image: nginx:alpine
    volumes:
      - ./site:/usr/share/nginx/html:ro
      - ./nginx.conf:/etc/nginx/conf.d/default.conf:ro
    networks:
      - tor-net
    expose:
      - "80"
    restart: unless-stopped

volumes:
  tor-keys:
    driver: local

networks:
  tor-net:
    driver: bridge
    internal: true

Флаг internal: true в сети критичен — он предотвращает прямой доступ контейнеров в интернет, гарантируя, что весь исходящий трафик должен пройти через Tor. Сервис web только раскрывает порт 80 в сети Docker, никогда на хосте.

Ваш адрес .onion производится из криптографических ключей, хранящихся в каталоге скрытого сервиса. Эти ключи должны сохраняться при перезагрузках контейнера и обновлениях. Назначенные томы Docker обрабатывают это автоматически, но вы должны также реализовать стратегию резервного копирования:

# Резервная копия ключей onion
docker run --rm -v tor-keys:/keys -v $(pwd)/backup:/backup \
  alpine tar czf /backup/onion-keys-$(date +%Y%m%d).tar.gz -C /keys .

# Восстановление ключей onion
docker run --rm -v tor-keys:/keys -v $(pwd)/backup:/backup \
  alpine sh -c "cd /keys && tar xzf /backup/onion-keys-20260101.tar.gz"

Никогда не сохраняйте приватные ключи onion в образ Docker или репозиторий Git. Подход с назначенным томом сохраняет ключи в файловой системе хоста, отдельно от жизненного цикла контейнера. Для дополнительной безопасности зашифруйте архивы резервных копий с помощью GPG перед их сохранением вне сервера.

Планы VPS AnubizHost поставляются с предварительно установленным Docker и Docker Compose, что делает развёртывание контейнеризованных скрытых сервисов Tor легким. Наши серверы в Исландии, Румынии и Финляндии обеспечивают юрисдикции, дружественные приватности, которые нужны вашему проекту.

Развёртывайте ваш контейнеризованный сервис .onion на инфраструктуре AnubizHost с полным корневым доступом, хранилищем NVMe SSD и щедрой пропускной способностью. Платите Bitcoin, Monero или другими криптовалютами — без KYC, без требуемой проверки личности. Наша команда поддержки может помочь с конфигурациями Docker Compose, сетью и оптимизацией Tor для контейнеризованных сред.