J'ai beaucoup entendu parler de la création de sites darknet ces derniers temps. J'utilise aussi fréquemment le navigateur Tor.
Le tor service s'exécute sur mon serveur Debian à la maison, et il a été installé avec :
sudo apt-get install tor
J'ai une idée du fonctionnement du réseau Tor et j'utilise aussi torify de temps en temps, sous Linux et MacOS, pour faire des tests avec ssh et wget sur le réseau Tor.
J'ai remarqué les lignes dans /etc/tor/torrc
#HiddenServiceDir /var/lib/tor/hidden_service/
#HiddenServicePort 80 127.0.0.1:80
Cependant, comment partir de là ? Comment sont .onion sites/noms créés ?
Quelles sont les bases de la configuration d'un tel service sous Linux ?
Réponse acceptée :
Créer un .onion service dans le réseau Tor est aussi simple que d'éditer /etc/tor/torrc et en ajoutant :
HiddenServiceDir /var/lib/tor/www_service/
HiddenServicePort 80 127.0.0.1:80
Après avoir redémarré le tor service avec
sudo service tor restart
ou
sudo service tor reload
Le répertoire sera créé automatiquement, et à l'intérieur du nouveau répertoire, deux fichiers sont générés, hostname et private_key .
Le hostname le fichier a un nom quelque peu aléatoire à l'intérieur, qui est votre adresse dans le .onion réseau.
$sudo cat /var/lib/tor/www_service/hostname
xyew6pdq6qv2i4sx.onion
Les noms sont générés en négociation avec le réseau Tor actuel, ce qui explique également pourquoi les sites/services du réseau Tor ont des noms aussi étranges.
Il semble y avoir des scripts pour obtenir (en utilisant la force brute ?) un nom moins aléatoire, j'ai eu l'impression que la complexité supplémentaire ne valait pas l'effort supplémentaire.
Donc, en fait, ce que vous avez configuré maintenant, c'est que toutes les visites du réseau Tor sur http://xyew6pdq6qv2i4sx.onion/ sera transmis à un démon écoutant 127.0.0.1:80 (localhost :80) sur votre serveur.
Nous pouvons maintenant configurer un démon Web pour répondre à cette adresse IP :port et liaison uniquement pour localhost, par ex. il ne répond pas aux requêtes dans le réseau local, et dans n'importe quelle adresse IP publique dans l'Internet "normal".
Par exemple, en utilisant nginx , modifiez la configuration par défaut du serveur dans /etc/nginx/sites-enabled/default à :
server {
listen 127.0.0.1:80 default_server;
server_name xyew6pdq6qv2i4sx.onion;
...
}
Installez quelques pages, et voilà, vous avez un site darknet.
La partie réelle de l'installation du service en soi n'est cependant pas la partie la plus difficile. Des précautions doivent être prises pour ne pas divulguer les informations de la machine réelle dans :
- la configuration de sécurité du serveur ;
- le démon fournissant le service ;
- les règles de pare-feu/iptables.
Une attention particulière doit également être portée aux fuites DNS, soit via dnscrypt ou tor .
Voir la réponse à la résolution DNS via Tor pour plus d'informations.
Une telle configuration peut être utilisée pour configurer un peu anonymous sites, ou plus intéressant encore, en raison des propriétés d'arrivée en tant que configuration de proxy inverse, pour configurer un service temporaire /télécharger des fichiers à partir d'un réseau où il n'y a pas de règles de pare-feu ou d'adresses IP publiques/NAT disponibles pour configurer un site www approprié sur Internet en général.
De toute évidence, il y a tellement plus à dire sur les problèmes de sécurité, mais cela sort du cadre de cette question.
Pour plusieurs services sur le même hôte, veuillez consulter la question connexe :Comment configurer plusieurs services cachés Tor sur le même hôte ?
Pour une introduction au thème, consultez :Configurer un service caché avec NGinx et Onionshop Guide :Comment configurer un service caché ?
Si vous rencontrez des problèmes pour ouvrir .onion sites avec Firefox, voir :Visiter des sites darknet/Tor avec Firefox