Скрытые сервисы (onion services) в Tor существуют с 2004 года, но в массовом сознании они до сих пор воспринимаются как нечто связанное исключительно с тёмной стороной интернета. Это упрощение, которое скрывает важную реальность: onion-сервисы - один из самых надёжных способов опубликовать ресурс, который не подвержен цензуре, не раскрывает физическое местоположение сервера и шифрует трафик от клиента до сервера без зависимости от центров сертификации.

В 2026 году v3-протокол onion-сервисов стал стандартом, v2 был полностью отключён ещё в 2021, а инструменты настройки доступны на любом дистрибутиве Linux. Эта статья - практический туториал для тех, кто хочет запустить свой первый скрытый сервис.

Зачем нужен onion-сервис

Прежде чем погружаться в настройку, стоит понять, какие задачи решают onion-сервисы:

• Защита источника. Журналисты используют onion-сервисы (часто на базе SecureDrop) для приёма документов от информаторов. Источник не знает физического местоположения редакции, а редакция не знает IP источника.
• Доступ в условиях цензуры. Зеркала Wikipedia, BBC, Deutsche Welle и десятков других ресурсов работают как onion-сервисы для пользователей из стран с глубокой блокировкой.
• Защищённый удалённый доступ. SSH-доступ к собственному серверу через onion-сервис не требует открывать порт SSH во внешний интернет, что устраняет целый класс атак.
• Анонимная публикация. Блог, форум или Matrix-homeserver, работающий как onion-сервис, не раскрывает где физически находится оператор.
• Шифрование без CA. Onion-адрес сам по себе является публичным ключом, что даёт end-to-end шифрование без необходимости в центрах сертификации (хотя Let's Encrypt поддерживает onion-сертификаты с 2023).

Важно: запуск onion-сервиса - законное действие в большинстве юрисдикций. Содержание, которое вы публикуете, регулируется тем же правом, что и обычный сайт. Скрытый сервис не легализует нелегальный контент.

Шаг 1: Установка Tor

На Debian, Ubuntu и большинстве серверных дистрибутивов установка занимает одну команду:

sudo apt update
sudo apt install tor

На Fedora или CentOS:

sudo dnf install tor

Tor запустится автоматически как systemd-сервис. Проверить статус:

sudo systemctl status tor

Сервис должен быть active. По умолчанию Tor работает только как клиент - чтобы он начал предоставлять onion-сервис, нужно отредактировать конфигурацию.

Шаг 2: Настройка torrc

Главный файл конфигурации находится по адресу /etc/tor/torrc. Откройте его в редакторе с правами root:

sudo nano /etc/tor/torrc

Добавьте в конец файла три строки:

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:8080
HiddenServiceVersion 3

Расшифровка:

• HiddenServiceDir - директория, где Tor сохранит приватный ключ сервиса и файл с onion-адресом. Tor создаст её автоматически при перезапуске.
• HiddenServicePort 80 127.0.0.1:8080 - вход через виртуальный порт 80 onion-адреса перенаправляется на локальный порт 8080. На этом порту должен слушать ваш веб-сервер (Nginx, Apache, Caddy).
• HiddenServiceVersion 3 - явное указание v3-протокола.

Для нескольких сервисов на одном узле просто добавляйте новые блоки HiddenServiceDir с разными директориями.

Шаг 3: Перезапуск и получение адреса

После сохранения файла перезапустите Tor:

sudo systemctl restart tor

Tor создаст указанную директорию и сгенерирует пару ключей. Через несколько секунд в /var/lib/tor/my_service/ появится файл hostname:

sudo cat /var/lib/tor/my_service/hostname

Вывод - строка длиной 56 символов с расширением .onion. Это и есть адрес вашего скрытого сервиса. Откройте его в Tor Browser - если веб-сервер на 127.0.0.1:8080 запущен, вы увидите свой сайт.

Шаг 4: Безопасность и OPSEC

Запуск onion-сервиса - это только техническая часть. Реальная анонимность зависит от того, насколько аккуратно настроена вся остальная инфраструктура.

Не запускайте onion-сервис рядом с публичным сайтом. Если тот же сервер с тем же IP отвечает на запросы из обычного интернета, корреляционные атаки по времени могут связать onion-сервис с публичным IP. Используйте отдельный VPS, на котором не работает ничего, кроме целевого сервиса.

Закройте все исходящие порты, кроме нужных. Onion-сервис должен слушать только на 127.0.0.1. Внешние порты HTTP/HTTPS не должны быть открыты - они могут раскрыть, что сервис работает.

Регулярно обновляйте Tor и операционную систему. Уязвимости в Tor находят редко, но они бывают, и публикация эксплойта часто опережает массовое обновление.

Сохраните бэкап ключей в зашифрованном виде. Файл /var/lib/tor/my_service/hs_ed25519_secret_key - это и есть ваш сервис. Потеряете его - получите новый адрес. Скопируйте его на офлайн-носитель сразу после первого запуска.

Не публикуйте логи и not-found страницы со временем сервера. HTTP-заголовки могут раскрыть часовой пояс или версию ПО. Настройте Nginx минимально:

server_tokens off;
add_header Server "" always;

Подумайте об vanguards и onionbalance. Для серьёзных сервисов с риском DoS-атак или попыток деанонимизации через guard discovery существует инструмент vanguards, добавляющий дополнительные слои защиты к выбору guard-узлов. Onionbalance позволяет распределять нагрузку между несколькими бэкендами с одним onion-адресом.

Use cases в реальном мире

SecureDrop - открытая система приёма документов от источников, разработанная Freedom of the Press Foundation. Используется New York Times, Washington Post, The Intercept, BBC и десятками других изданий. Работает исключительно как onion-сервис.

Whistleblower-платформы. GlobaLeaks - универсальный фреймворк для конфиденциального приёма обращений, используется правозащитными организациями и антикоррупционными комиссиями.

Anonymous журналистика в авторитарных режимах. Многие СМИ публикуют onion-зеркала своих основных сайтов для читателей из стран с цензурой. Это снижает риск как для редакции (если основной домен заблокирован), так и для читателя (трафик не виден провайдеру).

Личные блоги, форумы, Matrix-homeserver. Любая публичная инфраструктура, где оператор не хочет раскрывать местоположение, может работать как onion-сервис. Production-grade примеры существуют.

SSH через onion. Для доступа к собственному серверу из любой точки мира без публичного открытого SSH-порта - сильно снижает поверхность атаки. Документация на torproject.org/ru/.

Производительность и ограничения

Onion-сервисы медленнее обычных HTTP-сервисов. Латентность - в среднем 500-1500 мс на установление соединения и 100-300 мс на каждый запрос. Это не проблема для текстового контента, но усложняет работу с большими файлами и потоковым видео. Для тяжёлых сценариев существует Snowflake и улучшения Conflux в новых версиях Tor, заметно ускоряющие сеть.

Скорость зависит от того, через какие узлы прошёл цикл сборки контура. Tor-сеть в 2026 году насчитывает около 7000 relays и около 2500 guard-узлов, что обеспечивает разумную пропускную способность для большинства задач.

Уровень Хостинга, О Котором Многие Забывают

Анонимность в интернете - это не только Tor Browser или VPN. Если вы запускаете любой собственный сервис (почтовый сервер, Matrix-homeserver, блог, Tor relay), важно где вы его хостите. Анонимный хостинг требует отсутствия KYC, оплаты криптовалютой и офшорной юрисдикции. Anubiz Host предлагает офшорный VPS от $17.90/мес с Monero/Bitcoin, без KYC, с DMCA-ignored локациями в Исландии, Румынии и Финляндии - полезная база для self-hosted privacy инфраструктуры.

Дополнительные источники

• Privacy Guides: настройка onion-сервисов.
• EFF: правовой статус анонимных публикаций.

Скрытый сервис - не магия. Это инструмент. Как и любой инструмент, он работает в той мере, в какой вы понимаете, что делаете, и в которой подкреплён грамотным OPSEC.