Comment créer un site web darknet / Tor sous Linux?

J'ai beaucoup entendu parler de la création de sites darknet ces derniers temps. J'utilise aussi fréquemment le navigateur Tor .

Le torservice est exécuté sur mon serveur Debian à la maison et il a été installé avec:

sudo apt-get install tor 

J'ai une idée du fonctionnement du réseau Tor et de l'utilisation de torify de temps en temps, sous Linux et MacOS, pour effectuer des tests avec sshet wgetsur le réseau Tor.

J'ai remarqué les lignes dans /etc/tor/torrc

#HiddenServiceDir /var/lib/tor/hidden_service/
#HiddenServicePort 80 127.0.0.1:80

Cependant, comment y aller? Comment les .onionsites / noms sont-ils créés?
Quelles sont les bases de la configuration d’un tel service sous Linux?

Créer un .onionservice sur le réseau Tor est aussi simple que d’éditer /etc/tor/torrcet d’ajouter:

HiddenServiceDir /var/lib/tor/www_service/
HiddenServicePort 80 127.0.0.1:80

Après avoir redémarré le torservice avec

sudo service tor restart 

ou

sudo service tor reload

Le répertoire sera créé automatiquement, et à l'intérieur du nouveau répertoire, deux fichiers sont générés, hostnameet private_key.

Le hostnamefichier a un nom quelque peu aléatoire à l'intérieur, qui correspond à votre adresse sur le .onionréseau.

$sudo cat /var/lib/tor/www_service/hostname
xyew6pdq6qv2i4sx.onion 

Les noms sont générés en négociation avec le réseau Tor actuel, ce qui explique également pourquoi les sites / services du réseau Tor ont des noms aussi étranges.

Il semble y avoir des scripts pour obtenir (en utilisant la force brute?) Un nom moins aléatoire, mais j'ai l'impression que la complexité ajoutée ne vaut pas l'effort supplémentaire.

Donc, en fait, ce que vous avez configuré maintenant, c'est que toutes les visites sur le réseau Tor http://xyew6pdq6qv2i4sx.onion/seront transférées à un démon écoutant 127.0.0.1:80(localhost: 80) sur votre serveur.

Nous pouvons maintenant configurer un démon Web pour répondre à cette adresse IP: port et liaison uniquement pour localhost, par exemple, il ne répond pas aux requêtes du réseau local, ni de toute adresse IP publique dans l'Internet "normal".

Par exemple, en utilisant nginx, changez la configuration du serveur par défaut en /etc/nginx/sites-enabled/default:

server {
    listen 127.0.0.1:80 default_server;
    server_name xyew6pdq6qv2i4sx.onion;
    ...
}

Installez des pages, et voila, vous avez un site darknet.

La partie réelle de l’installation du service en soi n’est pas la partie la plus difficile. Il faut prendre soin de ne pas divulguer les informations de la machine réelle dans:

• la configuration de la sécurité du serveur;
• le démon fournissant le service;
• les règles de pare-feu / iptables.

Les fuites DNS doivent également faire l'objet d'une attention particulière, via dnscryptou tor.

Voir la réponse à la résolution DNS via Tor pour plus d'informations.

Une telle configuration peut être utilisée pour configurer un peu les anonymoussites ou, ce qui est encore plus intéressant, en raison des propriétés d’arriver en tant que configuration de proxy inverse, pour configurer un service temporaire / télécharger des fichiers depuis un réseau où il n’existe aucune règle de pare-feu ou d’adresses IP publiques. / NAT disponible pour configurer un site Web approprié sur Internet au sens large.

De toute évidence, il y a tellement plus à parler de préoccupations de sécurité, mais cela sort du cadre de cette question.

Pour plusieurs services dans le même hôte, veuillez vous reporter à la question connexe: Comment configurer plusieurs services cachés Tor dans le même hôte?

Pour une introduction au thème, consultez: Configuration d'un service caché avec NGinx et Guide Onionshop: Comment configurer un service caché?

Si vous rencontrez des problèmes pour ouvrir des .onionsites avec FireFox, voir: Visiter des sites darknet / Tor avec Firefox