Hidden Service

提供: Hideki Saito Wiki Japanese
2015年7月8日 (水) 17:03時点におけるHsaito (トーク | 投稿記録)による版 (Hidden Serviceとは)
移動先: 案内検索

本項ではTorにおけるHidden Serviceの詳細や設定方法などを解説。

Hidden Serviceとは

Hidden Service(秘匿サービス)とはTorネットワーク内においてサービス提供者、及びユーザーがお互いの招待を明かさない形で各種サービスを提供できる機能。アクセス側、サーバ側がそれぞれ3ホップのホストを経由し、Rendezvous Point(ランデブーポイント)[1]と呼ばれるホスト経由でアクセスすることにより実現される。通常のTor経由による一般サイトへのアクセスがExitノードを介したものになるのに対し、Hidden Serviceでは、Torネットワーク内で完結する点から点への接続が提供される。

Tor自体がSOCKSプロクシとして動作するため、TorがサポートしているTCPで通信を行うものであれば、多様なサービスが提供できるのが特徴。

設定方法

前提

  • Torの導入が完了していること。

設定手順

  • /etc/tor/torrc [2]に以下のような記述を追加。
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80

上記の例では、設定後、Torを再起動すると/var/lib/tor/hidden_service内に二つのファイルが生成される。[3]

  • hostname
  • private_key

hostnameにはonionアドレスが、private_keyにはhostnameに対応するonionホスト名が含まれる。private_keyの内容が漏れてしまうとhidden serviceが乗っ取られてしまう可能性があるため、厳重に管理。

尚、eschalotなどのツールを使用してアドレスを作成した場合はonionアドレスをhostname、private key blockをprivate_keyに入れる。

注意点

Linuxなどの場合、当該ディレクトリがTor実行ユーザー(Debianのパッケージマネージャーが使用されている場合、恐らくdebian-tor)がオーナーであり、読み取りユーザーが制限されていないと警告が出てTorの起動に失敗する。(/var/lib/tor以下再帰的にgo-rwxかけてやるとOK)

尚、指定するディレクトリが存在しない場合、やはり起動に失敗するので、空のディレクトリを作成すること。

Hidden Serviceの特徴など

  • Hidden Serviceの設定はネットにアクセスでき、Torに接続できている限り、グローバルIPのないNAT内からでも可能。厳しいフィルタリングなどがかかりそもそもTorの接続が成功しない場合はBridge経由による接続が必要になるかも。[4]
  • アクセスは任意のTCP/IPポートが設定できるため、IRCサーバや、SSHサーバなども可能。
  • torrcには複数のHiddenServiceDirHiddenServicePortを設定することも可能なので、一つのサーバから複数のサービスを提供することも可能。
  • HiddenServicePortの入り口と出口は違っても構わないので例えば、80、8080など異なったポートで提供されるサービスを各onionアドレスのポート80で提供することも可能。
  • 間違ってグローバルIPアドレスなどを漏らさないようにウェブサーバなどの設定は注意。(127.0.0.1以外へのバインドはしないようにするべき。)
  • HiddenServiceのアドレスは必ずしも127.0.0.1でも良い。ここにアドレスを指定するとパケットは転送されることになる。

参考資料

脚注

  1. サービス提供側によりランダムに選択され、ネットワーク内に放送されるRelayノード
  2. ディストリビューションなどにより場所に差があり。Windowsではユーザーディレクトリ「Application Data\Tor」内に存在
  3. Windowsの場合は任意のディレクトリを設定すること。
  4. 通常のプロバイダであれば問題ないはず。