Настройка скрытых сервисов Tor

Tor позволяет клиентам и узлам предоставлять скрытые сервисы. Таким образом Вы можете предоставлять доступ к веб-серверам, SSH-серверам, итд., без разглашения своего IP-адреса пользователям. Также, так как Вы не используете какие-либо внешние адреса, Вы можете запустить скрытый сервис за брандмауэром (не имея внешнего IP-адреса).

If you have Tor installed, you can see hidden services in action by visiting our example hidden service.

Данное руководство описывает порядок настройки вашего собственного скрытого сервиса. Технические детали работы протокола скрытых сервисов описаны на странице описания протокола скрытых сервисов.

Прежде всего: запуск Tor


Перед началом убедитесь в следующем:

  1. Что Tor запущен,
  2. Что Вы на самом деле настроили его корректно,

Пользователи ОС Windows должны воспользоваться руководством для пользователей Windows, пользователи OS X должны воспользоваться руководством для OS X, и пользователи Linux/BSD/Unix должны воспользоваться руководством для пользователей Unix.

Когда Вы уже установили и настроили Tor, вы сможете ознакомиться с действующими скрытыми сервисами, доступными по адресам: пример скрытого сервиса или скрытый сервер Wikileaks. Загрузка занимает обычно 10-60 секунд (или решение о недоступности сервера). Если браузер немедленно выдаёт ошибку "www.duskgytldkxiuqc6.onion could not be found, please check the name and try again", то значит, что у Вас некорректно настроен Tor, ознакомьтесь с частыми вопросами - возможно, это поможет.

Шаг 1: установка локального веб-сервера


Прежде всего Вам следует установить локальный веб-сервер. Это может оказаться сложной задачей, поэтому в данном руководстве будут рассмотрены лишь базовые моменты. Если Вы запутались или хотите большего, попросите кого-нибудь о помощи. Рекомендуется установить отдельный сервер для скрытого сервиса, даже если у Вас уже есть один сервер, используемый для настоящего сайта.

Если Вы работаете из-под UNIX или OS X и работа с командной строкой не доставляет Вам неудобств, лучшим началом будет установка thttpd. Просто скачайте самый свежий архив, распакуйте его (будет создана папка с файлами), и запустите ./configure && make. Затем mkdir hidserv; cd hidserv, и выполните ../thttpd -p 5222 -h localhost. Сервер вернёт ввод в командную строку, будет запущен сервер на порту 5222. Вы можете поместить размещаемые файлы в каталог hidserv.

Если Вы под Windows, Вы можете ознакомиться с Savant или Apache, проверьте, что сервер прослушивает только localhost. Также Вам потребуется узнать, какой порт прослушиает сервер - это Вам понадобится в дальнейшем.

(причина для прослушивания только localhost - убедиться, что сервер не является общедоступным. Если пользователи смогут получить доступ к серверу напрямую, они смогут убедиться, что именно этот компьютер предоставляет скрытый сервис.

После запуска сервера убедитесь, что он работает корректно: откройте адрес http://localhost:5222/ в Вашем браузере, где 5222 - порт, на который настроен сервер. После этого попробуйте запросить главную страницу, убедитесь, что она отображается корректно.

Шаг 2: настройка скрытого сервиса


Далее Вам потребуется настроить Ваш скрытый сервис на ваш локальный веб-сервер.

Откройте файл torrc в текстовом редакторе (см. частые вопросы о torrc). Перейдите на среднюю секцию и найдите строчку

############### This section is just for location-hidden services ###

Эта секция состоит из набора сгруппированных строк, каждая группа соответствует одному скрытому сервису. На данный момент они все закомментированы (строки, начинающиеся с #), соответственно, скрытые сервисы неактивны. Каждая группа строк содержит строку HiddenServiceDir и одну (или более) строку HiddenServicePort:

  • HiddenServiceDir - каталог, в котором Tor сохранит информацию о скрытом сервисе. В частности, в данном каталоге Tor создаст файл с названием имя_сервера, которое будет равно URL для Tor. Вручную добавлять файлы в этот каталог не стоит.
  • HiddenServicePort отвечает за назначение виртуального порта (т.е. какой порт будет доступен для пользователей) IP-адресу и порту для перенаправления соединений к запрошенному виртуальному порту.

Добавьте следующие строки в torrc: 

HiddenServiceDir /Library/Tor/var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:5222

Вам, возможно, понадобится изменить значение в строке HiddenServiceDir, чтобы она указывала на реально существующую папку, в которую разрешено чтение и запись для пользователя, от чьего имени запускается Tor. Строку выше можно оставить, если Вы работаете на OS X. На UNIX попробуйте "/home/имя_пользователя/hidserv/", где вместо "имя_пользователя" наберите имя Вашего пользователя. В Windows Вы можете использовать следующую строку:

HiddenServiceDir C:\Documents and Settings\username\Application Data\hidden_service\
HiddenServicePort 80 127.0.0.1:5222

Сохраните torrc и перезапустите Tor.

Если Tor запустится - отлично. Если же нет - значит, где-то была ошибка. В первую очередь просмотрите отчёты в лог-файлах. Там должны быть какие-то предупреждения или сообщения об ошибках. Они должны Вам подсказать, в чём проблема. Обычно это опечатки в torrc или некорректно настроенные разрешения (см. частые вопросы об отчётах, если Вы не знаете, где включить протоколирование ошибок или найти отчёты).

Tor при запуске автоматически (при необходимости) создаст каталог HiddenServiceDir и создаст там два файла.

private_key
Сначала Tor создаст пару ключей (общий и личный) для вашего скрытого сервиса. Ключ записывается в файл с названием "private_key". Не давайте этот ключ никому и не публикуйте его нигде, иначе Вас смогут опознать и найти.
имя_узла
Следующий файл, который создаёт Tor, называется "hostname". Он содержит отпечаток Вашего общего ключа, и имя будет у файла похоже на нечто вроде duskgytldkxiuqc6.onion. Это общедоступное имя для Вашего узла, Вы можете его сообщать другим, публиковать на вебсайтах, печатать на визитках итд.

Если Tor запускается не от Вашего имени, например, на OS X, Debian или Red hat, Вам возможно потребуются привилегии суперпользователя root для просмотра этих файлов.

После перезапуска Tor сохраняет точки доступа в сеть и создаёт дескриптор скрытого сервиса. Это подписанный список точек доступа, объединённый с общим ключом Вашего сервиса. Tor анонимно публикует дескриптор на сервера каталогов, и другие пользователи анонимно получают Ваш дескриптор при попытке зайти на Ваш сервис.

Попробуйте: вставьте содержимое файла hostname в адресную строку Вашего браузера. Если сервис настроен корректно, Вы увидите html-страницу, настроенную изначально. Если же Вы не увидите html-страницу, просмотрите файлы отчётов, информация в них поможет Вам установить причину некорректной работы сервиса.

Шаг 3: полезные советы


Если Вы собираетесь поддерживать скрытый сервис в течение долгого времени, возможно, Вам стоило бы где-нибудь сохранить резервную копию файла private_key.

Установка сервера Apache не была рекомендована в связи с тем, что: а) во многих случая пользователи уже используют этот сервер как публичный, б) сервер очень объёмный и в нём есть немало способов получить IP-адрес сервера или другую конфиденциальную информацию, например, на страницах ошибок наподобие генерируемой ошибки 404. Несмотря на это, пользователям с высокими требованиями к функциональности веб-серер Apache может быть правильным решением. Проект был бы благодарен за руководство по безопасности использования сервера Apache в качестве сервера для скрытого сервиса. Возможно, такие же проблемы есть у сервера Savant.

Если Вы хотите направить несколько виртуальных портов на один скрытый сервис, просто добавьте строку HiddenServicePort на каждый виртуальный порт. Если же Вы хотите поддерживать несколько скрытых сервисов на одном клиенте Tor, просто добавьте ещё одну строку HiddenServiceDir на каждый сервис. Все строки HiddenServicePort соответствуют строке HiddenServiceDir выше, группа оканчивается на новой строке HiddenServiceDir: 

HiddenServiceDir /usr/local/etc/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080

HiddenServiceDir /usr/local/etc/tor/other_hidden_service/
HiddenServicePort 6667 127.0.0.1:6667
HiddenServicePort 22 127.0.0.1:22

Несколько моментов, о которых Вам стоит помнить в интересах Вашей конфиденциальности:

  • Как было отмечено выше, будьте осторожны с возможностями сервера по предоставлению информации о Вас, Вашем компьютере или о Вашем местонахождении. Например, пользователи могут с некой вероятностью установить, какое ПО используется в качестве веб-сервера (Apache, thttpd, итд) и сделать какие-то выводы о Вашей операционной системе.
  • Если Ваш компьютер функционирует не круглосуточно, скрытый сервис также функционировать не будет без компьютера. На этой информации можно также сделать некие выводы, например, предположить часовой пояс.

Если у Вас есть предложения по улучшению этого документа, пожалуйста, присылайте их нам. Спасибо!

"Tor" и "Onion Logo" — зарегистрированные торговые марки Tor Project, Inc.
Содержимое сайта защищенo по условиям лицензии Creative Commons Attribution 3.0 United States License , если явно не указано другое.

Внимание! Этот перевод устарел. Английский оригинал имеет ревизию 22222 тогда как этот перевод основан на ревизии (unknown).

Эта страница также переведена на следующие языки: Deutsch, English, español, français, Italiano, polski, 中文(简) (Simplified Chinese).
Как установить язык документов по умолчанию.

Разработчики Tor не проверяли этот перевод на точность и корректность. Перевод может быть устаревшим или просто неправильным. Официальный веб-сайт Tor на английском языке доступен по адресу https://www.torproject.org/.

Webmaster - Последние изменения: Sun Apr 25 21:59:43 2010 - Последняя компиляция: Sun Apr 25 22:08:49 2010