Skapa din egen ’.onion-webbsida’ med Tor. || Guide/Lathund

Här har ni en komplett guide till din egen ’.onion-webbsida’ || Lycka till!

viktigt att följa alla steg för en fungerande slutprodukt!
Konfigurera löktjänster för Tor
Tor tillåter kunder och reläer att erbjuda löktjänster. Det vill säga att du kan erbjuda en webbserver, SSH-server etc. utan att avslöja din IP-adress för dess användare. Eftersom du inte använder någon allmän adress kan du faktiskt köra en löktjänst bakom din brandvägg.

Om du har Tor installerat kan du se löktjänster i aktion genom att besöka denna exempelwebbplats .

Den här sidan beskriver stegen för att skapa din egen löktjänstwebbplats. För de tekniska detaljerna för hur lökserviceprotokollet fungerar, se vår lökserviceprotokollsida .

Steg noll: Få Tor att fungera
Steg ett: Installera en webbserver lokalt
Steg två: Konfigurera din löktjänst
Steg tre: Mer avancerade tips
Steg fyra: Ställ in nästa generations (v3) lök
Steg noll: Få Tor att fungera

Innan du börjar måste du se till att:

Tor är igång,
Du ställer faktiskt upp det korrekt.
Windows-användare bör följa Windows-howto , OS X-användare bör följa OS X-howto och Linux / BSD / Unix-användare bör följa Unix-howto .

Steg ett: Installera en webbserver lokalt

Först måste du ställa in en webbserver lokalt, till exempel nginx eller lighttpd (apache är inte det bästa alternativet för anomymitet, se steg tre nedan). Att installera en webbserver kan vara komplicerat. Vi ska inte täcka hur man ställer in en webbserver här. Om du fastnar eller vill göra mer, hitta en vän som kan hjälpa dig. Vi rekommenderar att du installerar en ny separat webbserver för din löktjänst, eftersom även om du redan har en installerad kan du använda den (eller vill använda den senare) för en vanlig webbplats.

Du måste konfigurera din webbserver så att den inte ger bort information om dig, din dator eller din plats. Var noga med att binda webbservern endast till localhost (om människor kan komma direkt till den kan de bekräfta att din dator är den som erbjuder löktjänsten). Se till att dess felmeddelanden inte visar ditt värdnamn eller andra tips. Överväg att placera webbservern i en sandlåda eller en virtuell dator för att begränsa skadan från kodsårbarheter.

När din webbserver har ställts in, se till att den fungerar: öppna din webbläsare och gå till http: // localhost: 8080 / , där 8080 är den webbserverport du valde under installationen (du kan välja vilken port som helst, 8080 är bara ett exempel ). Försök sedan lägga en fil i huvud-html-katalogen och se till att den dyker upp när du besöker webbplatsen.

Steg två: Konfigurera din löktjänst

Därefter måste du konfigurera din löktjänst så att den pekar på din lokala webbserver.

Öppna först din torrc-fil i din favorittextredigerare. (Se torrc FAQ-posten för att lära dig vad detta betyder.) Gå till mittavsnittet och leta efter raden

################ Det här avsnittet är bara för plats-dolda tjänster ###

Detta avsnitt av filen består av grupper av rader, som var och en representerar en löktjänst. Just nu kommenteras de alla (raderna börjar med #), så löktjänster är inaktiverade. Varje grupp av rader består av en HiddenServiceDir- linje och en eller flera HiddenServicePort- rader:

HiddenServiceDir är en katalog där Tor lagrar information om den löktjänsten. I synnerhet kommer Tor att skapa en fil här med namnet värdnamn som berättar lök-URL. Du behöver inte lägga till några filer i den här katalogen. Se till att detta inte är samma katalog som hidserv-katalogen som du skapade när du konfigurerade thttpd, eftersom din HiddenServiceDir innehåller hemlig information!
Med HiddenServicePort kan du ange en virtuell port (det vill säga vilken port som personer som använder löktjänsten tror att de använder) och en IP-adress och port för att omdirigera anslutningar till den här virtuella porten.
Lägg till följande rader i din torrc:

HiddenServiceDir / Library / Tor / var / lib / tor / hidden_service /
HiddenServicePort 80 127.0.0.1:8080

Du kommer att vilja ändra raden HiddenServiceDir , så den pekar på en faktisk katalog som är läsbar / skrivbar av användaren som ska köra Tor. Ovanstående rad bör fungera om du använder OS X Tor-paketet. På Unix, prova "/ home / username / hidden_service /" och fyll i ditt eget användarnamn istället för "username". På Windows kan du välja:

HiddenServiceDir C: \ Users \ användarnamn \ Documents \ tor \ hidden_service
HiddenServicePort 80 127.0.0.1:8080
Observera att både SocksPort och HiddenServicePort stöder Unix-uttag sedan 0.2.6 . Det betyder att du kan peka HiddenServicePort till ett Unix-uttag:

HiddenServiceDir / Library / Tor / var / lib / tor / hidden_service /
HiddenServicePort 80 unix: / sökväg / till / uttag

Spara nu torrc och starta om tor.

Om Tor startar igen, jättebra. Annars är något fel. Titta först på dina loggfiler för tips. Det kommer att skriva ut några varningar eller felmeddelanden. Det borde ge dig en uppfattning om vad som gick fel. Vanligtvis finns det stavfel i torrc eller fel katalogbehörigheter (se posten FAQ för loggning om du inte vet hur du aktiverar eller hittar din loggfil.)

När Tor startar kommer den automatiskt att skapa den HiddenServiceDir som du angav (om det behövs) och det kommer att skapa två filer där.

privat_nyckel
Först kommer Tor att generera ett nytt offentligt / privat tangentbord för din löktjänst. Det skrivs in i en fil som heter "private_key". Dela inte den här nyckeln med andra - om du gör det kommer de att kunna imitera din löktjänst.
värdnamn
Den andra filen som Tor skapar kallas "värdnamn". Den här innehåller en kort sammanfattning av din offentliga nyckel - den kommer att se ut som duskgytldkxiuqc6.onion . Detta är det offentliga namnet på din tjänst och du kan berätta det för människor, publicera det på webbplatser, sätta det på visitkort etc.
Om Tor körs som en annan användare än du, till exempel på OS X, Debian eller Red Hat, kan du behöva bli root för att kunna se dessa filer.

Nu när du har startat om Tor är det upptagen med att välja introduktionspunkter i Tor-nätverket och generera en lökservicebeskrivare . Detta är en undertecknad lista över introduktionsställen tillsammans med tjänstens fullständiga offentliga nyckel. Den publicerar anonymt denna beskrivning till katalogservrarna, och andra personer hämtar den anonymt från katalogservrarna när de försöker komma åt din tjänst.

Prova nu: klistra in innehållet i värdnamnsfilen i din webbläsare. Om det fungerar får du html-sidan som du skapade i steg ett. Om det inte fungerar, leta efter tips i dina loggar och fortsätt spela med det tills det fungerar.

Steg tre: Mer avancerade tips

Om du planerar att hålla din tjänst tillgänglig länge kanske du vill göra en säkerhetskopia av filen private_key någonstans.

Om du vill vidarebefordra flera virtuella portar för en enda löktjänst, lägg bara till fler HiddenServicePort- rader. Om du vill köra flera löktjänster från samma Tor-klient, lägg bara till en annan HiddenServiceDir- rad. Alla följande HiddenServicePort- rader hänvisar till den här HiddenServiceDir- raden tills du lägger till en annan HiddenServiceDir- rad:

HiddenServiceDir / usr / local / etc / tor / hidden_service /
HiddenServicePort 80 127.0.0.1:8080

HiddenServiceDir / usr / local / etc / tor / other_hidden_service /
HiddenServicePort 6667 127.0.0.1:6667
HiddenServicePort 22 127.0.0.1:22

För att skapa en löktjänst på Raspbian, ta en titt på Alec Muffetts Enterprise Onion Toolkit .

Kundtillstånd
För att ställa in Cookie Authentication för v2- tjänster, se posterna för alternativen HidServAuth och HiddenServiceAuthorizeClient i manualen. Lägg först till följande rad i torrc- filen för din löktjänst:

HiddenServiceAuthorizeClient [auth-type] [service-name]

Starta om / ladda om tor och läs kakan från värdnamnsfilen för din löktjänst, till exempel i
/ var / lib / tor / hidden_service_path / hostname .
För att komma åt den med en tor-klient, lägg till följande rad i torrc och (starta / starta om):

HidServAuth [lökadress] [auth-cookie] [tjänstenamn]

Du kan nu bläddra till löktjänstadressen.

För att ställa in Client Authorization för v3 ( "next-gen" ) -tjänster enligt specifikation i rend-spec-v3.txt för tor-tjänsten som kör löken, följ instruktionerna i Client Authorization . Observera att för att återkalla klienter måste du starta om tor-tjänsten (se # 28275 ). För tillfället måste du skapa nycklarna själv med ett skript (som dessa skrivna i bash eller rost ).

För att komma åt den med en tor-klient, se till att du har ClientOnionAuthDir inställd i torrc. I katalogen <ClientOnionAuthDir> skapar du en .auth_private- fil för löktjänsten som motsvarar den här nyckeln (dvs. 'bob_onion.auth_private').
Innehållet i filen <ClientOnionAuthDir> / <user> .auth_private ska se ut:

<56-char-lök-addr-utan-.onion-del>: deskriptor: x25519: BBBEAUAO3PIFAH7SBGBI6A2QFAZBXG2NVN7HMBXFCZENJVF6C5AQ

Starta / ladda sedan om den så ska du kunna bläddra till lökserviceadressen.
Operativ säkerhet
Löktjänstoperatörer måste träna korrekt operativ säkerhet och systemadministration för att upprätthålla säkerheten. För några säkerhetsförslag, se till att du läser igenom Riseups dokument "Tor Hidden (Onion) Services Best Practices" . Här är också några fler anonymitetsproblem som du bör tänka på:

Som nämnts ovan, var försiktig med att låta din webbserver avslöja identifierande information om dig, din dator eller din plats. Till exempel kan läsare förmodligen avgöra om det är thttpd eller Apache, och lära sig något om ditt operativsystem.
Om din dator inte är online hela tiden kommer din löktjänst inte heller att vara. Detta läcker information till en observant motståndare.
Det är i allmänhet en bättre idé att vara värd för löktjänster på en Tor-klient snarare än ett Tor-relä, eftersom relätid och andra fastigheter är offentligt synliga.
Ju längre en löktjänst är online desto större är risken att dess plats upptäcks. De mest framträdande attackerna bygger en profil på löktjänstens tillgänglighet och matchande inducerade trafikmönster.
Ett annat vanligt problem är om du ska använda HTTPS på ditt relä eller inte. Ta en titt på det här inlägget på Tor-bloggen för att lära dig mer om dessa frågor.

Du kan använda stammen för att automatisera hanteringen av dina löktjänster .

Slutligen är du välkommen att använda e -postlistan [tor-onions] för att diskutera säker administration och drift av Tor-lökstjänster.

Steg fyra: Ställ in nästa generations (v3) lök

Eftersom Tor 0.3.2 och Tor Browser 7.5.a5 56-tecken långa v3-lökadresser stöds och bör användas istället. Denna nyare version av löktjänster ("v3") har många förbättringar jämfört med det äldre systemet:

Bättre krypto (ersatt SHA1 / DH / RSA1024 med SHA3 / ed25519 / curve25519)
Förbättrat katalogprotokoll, läcker mycket mindre information till katalogservrar.
Förbättrat katalogprotokoll, med mindre yta för riktade attacker.
Bättre lök adress säkerhet mot efterliknande.
Mer utbyggbart introduktions- / mötesprotokoll.
En renare och mer modulär kodbas.
För mer information se Varför är v3-lök bättre? . Du kan identifiera en nästa generations lökadress med dess längd: de är 56 tecken långa, som i 4acth47i6kxnvkewtm6q7ib2s3ufpo5sqbsnzjpbi7utijcltosqemad.onion. Specifikationen för nästa generations löntjänster hittar du här .

Så här ställer du in din egen prop224-tjänst
Det är lätt! Bara använda din vanliga lök tjänst torrc och lägga HiddenServiceVersion 3 i lök tjänst torrc block. `Här är ett exempel på torrc utformad för testning:

SocksPort auto

HiddenServiceDir / home / user / tmp / hsv3
HiddenServiceVersion 3
HiddenServicePort 6667 127.0.0.1:6667

Då är din lökadress i / home / user / tmp / hsv3 / hostname . Att vara värd för både en v2- och en v3-tjänst med två löktjänst-torrc-block:

HiddenServiceDir / home / user / tmp / hsv2
HiddenServicePort 6667 127.0.0.1:6667

HiddenServiceDir / home / user / tmp / hsv3
HiddenServiceVersion 3
HiddenServicePort 6668 127.0.0.1:6667

Observera att tor är strikt när det gäller katalogbehörigheter och inte gillar att dela sina filer. Se till att begränsa läs- och skrivåtkomst till löktjänstkatalogen innan du startar om tor. För de flesta Linux-baserade system

chmod 700 -R / var / lib / tor
bör vara avsedda.
För att starta om tor är det säkrare att inte använda SIGHUP direkt (se fel nr 21818 ) utan att först kontrollera konfigurationens giltighet. På Debian-baserade system gör tjänstehanteringsverktyget detta åt dig:

starta om service

Hur man hjälper nästa generations lökutveckling
Vänligen meddela oss om du hittar några buggar! Vi är fortfarande i test- och utvecklingsfasen så saker och ting är väldigt flytande och i aktiv utveckling. Om du vill hjälpa till med utvecklingen, kolla in listan över öppna prop224-buggar .

För forskare kan vår wiki-sida Onion Service Naming Systems vara av värde. Om du är mer av typen feljakt, kontrollera vår kod och specifikation för fel och felaktigheter. Vi skulle vara glada att veta om dem!

För felsökning och för att skicka oss mer användbara loggfiler, aktivera informationsloggning:

SafeLogging 0
Logga meddelandefilen /home/user/tmp/hs/hs.log
Logginfofil /home/user/tmp/hs/hsinfo.log



Lycka till!











// La Vida KARMA

lvkarma.org

%d bloggare gillar detta: