# 如何把服務跑成 Tor 隱藏服務 > 為你的網站、wiki 或應用設定 .onion 地址——torrc 設定、主機名輪替、虛榮地址,以及那些悄悄毀掉隱藏服務匿名性的操作陷阱(時鐘偏移、靠 header 洩漏真實 IP、descriptor 在線時間)。 Canonical URL: https://www.xmr.club/zh/guides/host-a-tor-hidden-service ## Overview 跑 Tor 隱藏服務的操作面跟跑一般網站服務很接近,差別在一個關鍵點:每一個洩漏都是永久的。下面是:最小可用設定、我們現在身處的「只剩 v3 onion」世界,以及會把你買的匿名性糟蹋掉的失敗樣態。 ## Body 為什麼要跑在 Tor 上 隱藏伺服器位置。 對隨手觀察的人而言沒有 DNS、沒有公網 IP、也沒有 AS 級別的歸因。 預設端對端加密 ——.onion 握手取代 TLS-via-CA。(為了相容性可以再套一層 TLS,但不是必要。) 抗審查。 只要連得到 Tor 網路就能存取隱藏服務;沒有網域可被沒收、沒有 IP 可被國家層級封鎖。 注意: 隱藏伺服器位置不等於隱藏「服務在做什麼」。你保留的日誌、接受的帳號、轉送過去的支付處理商——這些都不變。 2026 年只剩 v3 onion v2 onion(短的 16 字元)在 2021 年廢棄了。只用 v3(56 字元)。它用更好的密碼學、支援客戶端授權,目前沒有已知的大規模去匿名攻擊。如果教學提到 v2 那就是過時資料。 最小可用設定 把 Tor 裝在跟服務同一台主機。 Debian/Ubuntu 是 apt install tor ,其他發行版同理。 編輯 /etc/tor/torrc : HiddenServiceDir /var/lib/tor/my-service/ HiddenServicePort 80 127.0.0.1:8080 HiddenServiceVersion 3 (隱藏服務內的 80 port 對應到你本機應用實際監聽的位址。) 重啟 Tor。 systemctl restart tor 。 讀主機名。 cat /var/lib/tor/my-service/hostname ——那就是你的 .onion 地址。 測。 開 Tor Browser → 貼 .onion。頁面載入 = 通了;不行就看 Tor 日誌( /var/log/tor/log )。 操作陷阱(會咬人的那些) 時鐘偏移。 伺服器時鐘漂移超過幾分鐘,descriptor 不會發佈,.onion 就熄燈。跑 chrony 或 systemd-timesyncd 。 靠 header 洩漏真實 IP。 nginx 預設會記錄請求並依代理寫入 X-Forwarded-For 或 X-Real-IP 。只要你堆疊任何一層把請求真實 IP 寫進頁面(錯誤訊息、debug header、會把輸入回顯的聊天),就毀掉了 .onion 存在的意義。每一層都要審。 對外連結 Referer 洩漏。 從隱藏服務發到明網的連結,預設會把 .onion 當成 Referer 送出去。緩解:加上 Referrer-Policy: no-referrer 標頭。 伺服器端工具。 隱藏服務上的錢包/資料庫/cron 任務如果繞過 Tor 對外連線,就會洩漏真實 IP。讓所有對外流量都走 Tor,或在防火牆上完全封掉對外。 真實 IP 介面上的 SSH 後門。 管理方便、匿名要命。要嘛把 SSH 也跑在另一個隱藏服務上,要嘛關密碼登入+只允金鑰+換非預設 port+裝 fail2ban+接受殘餘洩漏。 Descriptor 中斷。 Tor daemon 掛幾小時,隱藏服務 descriptor 過期,要等重新傳播。Tor 服務單元保留 systemd 自動重啟。 虛榮 onion 地址 如果想讓 .onion 以特定字串開頭(例如 "xmrclub..."),用 mkp224o 。8 字元前綴在筆電上要幾小時;前綴越長指數級越難。 生成主機保持離線/隔離 ——任何看到生出來的私鑰( hs_ed25519_secret_key )的人,都掌控這個地址。 Onion-Location 標頭(向明網訪客廣告) 如果你也提供明網版本,加上 Onion-Location 回應標頭,Tor Browser 會顯示「有 .onion 可用」橫幅。新版 Tor Browser 首訪會自動跳過去: Onion-Location: http://<你的-56-字元-v3-onion>.onion$request_uri xmr.club 的 onion 稽核 每天會去探每個營運方公告的 Onion-Location 標頭,跟我們列出的 .onion 對照——所以標頭與你別處公告的地址不一致時,會立刻顯現。 客戶端授權(進階) 不希望隱藏服務被公開瀏覽,可以用 v3 客戶端授權。伺服器設定要求每個客戶端有對應公鑰;沒鑰匙的客戶端會被 Tor 本身擋下,連你的應用都到不了。適合內部團隊服務、僅限客戶的支援後台等。 已經幫你處理好 Tor 的主機 不想自己在 VPS 上裝 Tor——下面推薦的無 KYC 主機商,要嘛在受管實例上預先設好 Tor、要嘛接受你手動安裝。用 XMR 付款;不管怎樣,把主機商當作軟性對手看待。 ## Recommended picks - [Njalla VPS](https://www.xmr.club/hosting/njalla-vps) · /llm/hosting/njalla-vps.txt — 尊重隱私的 VPS,XMR 付款,對匿名友善的客服——自己裝 Tor,不會被多問。 - [1984 Hosting](https://www.xmr.club/hosting/1984-hosting) · /llm/hosting/1984-hosting.txt — 冰島為基地,重視言論自由,收加密貨幣,對你托管的內容不過問。 - [Incognet](https://www.xmr.club/hosting/incognet) · /llm/hosting/incognet.txt — 無 KYC 主機+信箱註冊。有 Tor 鏡像。 - [Tor Browser](https://www.xmr.club/tools/tor-browser) · /llm/tools/tor-browser.txt — 用使用者實際會用的 UA 來測你的隱藏服務。必備。 ## License CC-BY-4.0. Attribute "xmr.club".