Конфигурация Nginx для скрытых сервисов Tor

Первый шаг — сказать Tor создать скрытый сервис и переадресовать подключения на Nginx. Отредактируйте файл /etc/tor/torrc, чтобы определить каталог скрытого сервиса и сопоставление портов:

# /etc/tor/torrc
HiddenServiceDir /var/lib/tor/my_hidden_service/
HiddenServicePort 80 127.0.0.1:8080
HiddenServiceVersion 3

Эта конфигурация сообщает Tor слушать на виртуальном порту 80 и пересылать трафик на порт localhost 8080, где будет слушать Nginx. После сохранения перезагрузите Tor с помощью systemctl restart tor, и ваш адрес .onion будет сгенерирован в /var/lib/tor/my_hidden_service/hostname.

Для развёртывания на производстве рассмотрите возможность добавления HiddenServiceSingleHopMode и HiddenServiceNonAnonymousMode только если личность вашего сервера уже общеизвестна и вы хотите уменьшить задержку. Для большинства случаев, ориентированных на приватность, сохраняйте стандартные 3-хоповые цепи.

Настройте Nginx для прослушивания только на localhost, чтобы предотвратить случайное раскрытие clearnet. Создайте блок сервера специально для вашего скрытого сервиса:

# /etc/nginx/sites-available/onion
server {
    listen 127.0.0.1:8080;
    server_name your56charv3onionaddress.onion;

    root /var/www/onion;
    index index.html;

    # Отключить маркеры сервера
    server_tokens off;

    # Удалить ненужные заголовки
    proxy_hide_header X-Powered-By;

    # Предотвратить clickjacking
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "no-referrer" always;

    # Отключить логирование для приватности
    access_log off;
    error_log /dev/null;

    location / {
        try_files $uri $uri/ =404;
    }
}

Привязка к 127.0.0.1:8080 гарантирует, что Nginx принимает подключения только от локального демона Tor. Никогда не привязывайте к 0.0.0.0, так как это может раскрыть сервис на всех сетевых интерфейсах, потенциально выявляя IP вашего сервера.

Укрепите конфигурацию Nginx, чтобы предотвратить утечки информации, которые могут деанонимизировать ваш скрытый сервис. Отключите все журналы доступа и ошибок, удалите заголовки версий и заблокируйте общие запросы на определение отпечатков:

# Блокировать зондирование версии
location = /server-status { return 404; }
location = /nginx_status { return 404; }

# Блокировать скрытые файлы
location ~ /\. { deny all; }

# Ограничить методы запроса
if ($request_method !~ ^(GET|HEAD|POST)$) {
    return 405;
}

Кроме того, настройте времена ожидания соединения для предотвращения атак slow loris. Установите client_body_timeout 10s, client_header_timeout 10s и keepalive_timeout 15s. Для скрытых сервисов Tor подключения поступают от localhost, но эти ограничения по-прежнему защищают уровень приложения от злоупотреблений.

Рассмотрите возможность включения ограничения частоты запросов с помощью limit_req_zone для предотвращения атак перебора, так как узлы выхода Tor не могут быть заблокированы по IP без блокирования легитимных пользователей.

Пропустите ручную конфигурацию полностью с управляемым хостингом Tor на AnubizHost. Каждый VPS поставляется с предварительно установленным, предварительно настроенным и защищённым нашей командой Nginx и Tor. Ваш адрес .onion генерируется во время подготовки, и ваш сайт работает в течение нескольких минут.

Наши офшорные серверы в Исландии, Румынии и Финляндии работают под юрисдикциями, дружественными приватности. Платите Bitcoin, Monero или другими криптовалютами — без KYC, без проверки личности. AnubizHost обрабатывает обновления Tor, патчи безопасности Nginx и мониторинг времени безопасности, чтобы вы могли сосредоточиться на своём контенте.