「Hidden Serviceの設定方法」の版間の差分

Hidden Serviceとは

Hidden Service（秘匿サービス）とはTor内で匿名でサービスを提供できる機能。アクセス側、サーバ側がそれぞれ3ホップのホストを経由し、Rendezvous Point（ランデブーポイント）と呼ばれるホスト経由でアクセスすることにより実現される。

前提

• Torの導入が完了していること。

設定手順

• /etc/torrc ^[1]に以下のような記述を追加。

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80

設定後、Torを再起動すると/var/lib/tor/hidden_service内に二つのファイルが生成される。^[2]

• hostname
• private_key

「hostname」にはonionアドレスが、「private_key」にはhostnameに対応するonionホスト名が含まれる。「private_key」の内容が漏れてしまうとhidden serviceが乗っ取られてしまう可能性があるため、厳重に管理。

尚、eschalotなどのツールを使用してアドレスを作成した場合はonionアドレスをhostname、private key blockをprivate_keyに入れる。

注意点

Linuxなどの場合、当該ディレクトリがTor実行ユーザー（Debianのパッケージマネージャーが使用されている場合、恐らくdebian-tor）がオーナーであり、読み取りユーザーが制限されていないと警告が出てTorの起動に失敗する。（/var/lib/tor以下再帰的にgo-rwxかけてやるとOK）

その他

• Hidden Serviceの設定はネットにアクセスでき、Torに接続できている限り、グローバルIPのないNAT内からでも可能。厳しいフィルタリングなどがかかりそもそもTorの接続が成功しない場合は[[Bridgeを使用したTorアクセス][Bridge経由による接続]]が必要になるかも。^[3]
• アクセスは任意のTCP/IPポートが設定できるため、IRCサーバや、SSHサーバなども可能。
• torrcには複数のHiddenServiceDir、HiddenServicePortを設定することも可能なので、一つのサーバから複数のサービスを提供することも可能。
• HiddenServicePortの入り口と出口は違っても構わないので例えば、80、8080など異なったポートで提供されるサービスを各onionアドレスのポート80で提供することも可能。
• 間違ってグローバルIPアドレスなどを漏らさないようにウェブサーバなどの設定は注意。（127.0.0.1以外へのバインドはしないようにするべき。）

参考資料

• | 公式サイトによる解説

脚注