如何把服務跑成 Tor 隱藏服務

為什麼要跑在 Tor 上

• 隱藏伺服器位置。對隨手觀察的人而言沒有 DNS、沒有公網 IP、也沒有 AS 級別的歸因。
• 預設端對端加密——.onion 握手取代 TLS-via-CA。（為了相容性可以再套一層 TLS，但不是必要。）
• 抗審查。只要連得到 Tor 網路就能存取隱藏服務；沒有網域可被沒收、沒有 IP 可被國家層級封鎖。
• 注意：隱藏伺服器位置不等於隱藏「服務在做什麼」。你保留的日誌、接受的帳號、轉送過去的支付處理商——這些都不變。

2026 年只剩 v3 onion

v2 onion（短的 16 字元）在 2021 年廢棄了。只用 v3（56 字元）。它用更好的密碼學、支援客戶端授權，目前沒有已知的大規模去匿名攻擊。如果教學提到 v2 那就是過時資料。

最小可用設定

1. 把 Tor 裝在跟服務同一台主機。Debian/Ubuntu 是 apt install tor，其他發行版同理。
2. 編輯 /etc/tor/torrc：

   HiddenServiceDir /var/lib/tor/my-service/
   HiddenServicePort 80 127.0.0.1:8080
   HiddenServiceVersion 3

   （隱藏服務內的 80 port 對應到你本機應用實際監聽的位址。）
3. 重啟 Tor。systemctl restart tor。
4. 讀主機名。cat /var/lib/tor/my-service/hostname——那就是你的 .onion 地址。
5. 測。開 Tor Browser → 貼 .onion。頁面載入 = 通了；不行就看 Tor 日誌（/var/log/tor/log）。

操作陷阱（會咬人的那些）

1. 時鐘偏移。伺服器時鐘漂移超過幾分鐘，descriptor 不會發佈，.onion 就熄燈。跑 chrony 或 systemd-timesyncd。
2. 靠 header 洩漏真實 IP。nginx 預設會記錄請求並依代理寫入 X-Forwarded-For 或 X-Real-IP。只要你堆疊任何一層把請求真實 IP 寫進頁面（錯誤訊息、debug header、會把輸入回顯的聊天），就毀掉了 .onion 存在的意義。每一層都要審。
3. 對外連結 Referer 洩漏。從隱藏服務發到明網的連結，預設會把 .onion 當成 Referer 送出去。緩解：加上 Referrer-Policy: no-referrer 標頭。
4. 伺服器端工具。隱藏服務上的錢包/資料庫/cron 任務如果繞過 Tor 對外連線，就會洩漏真實 IP。讓所有對外流量都走 Tor，或在防火牆上完全封掉對外。
5. 真實 IP 介面上的 SSH 後門。管理方便、匿名要命。要嘛把 SSH 也跑在另一個隱藏服務上，要嘛關密碼登入+只允金鑰+換非預設 port+裝 fail2ban+接受殘餘洩漏。
6. Descriptor 中斷。Tor daemon 掛幾小時，隱藏服務 descriptor 過期，要等重新傳播。Tor 服務單元保留 systemd 自動重啟。

虛榮 onion 地址

如果想讓 .onion 以特定字串開頭（例如 "xmrclub..."），用 mkp224o。8 字元前綴在筆電上要幾小時；前綴越長指數級越難。生成主機保持離線/隔離——任何看到生出來的私鑰（hs_ed25519_secret_key）的人，都掌控這個地址。

Onion-Location 標頭（向明網訪客廣告）

如果你也提供明網版本，加上 Onion-Location 回應標頭，Tor Browser 會顯示「有 .onion 可用」橫幅。新版 Tor Browser 首訪會自動跳過去：

Onion-Location: http://<你的-56-字元-v3-onion>.onion$request_uri

xmr.club 的 onion 稽核每天會去探每個營運方公告的 Onion-Location 標頭，跟我們列出的 .onion 對照——所以標頭與你別處公告的地址不一致時，會立刻顯現。

客戶端授權（進階）

不希望隱藏服務被公開瀏覽，可以用 v3 客戶端授權。伺服器設定要求每個客戶端有對應公鑰；沒鑰匙的客戶端會被 Tor 本身擋下，連你的應用都到不了。適合內部團隊服務、僅限客戶的支援後台等。

已經幫你處理好 Tor 的主機

不想自己在 VPS 上裝 Tor——下面推薦的無 KYC 主機商，要嘛在受管實例上預先設好 Tor、要嘛接受你手動安裝。用 XMR 付款；不管怎樣，把主機商當作軟性對手看待。

更多指南