system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/tor-hidden-service-anonymous-vps-par-setup-gaid-2026$ cat post.md

Anonymous VPS पर Tor Hidden Service कैसे सेटअप करें

// by ~anon · 2026-06-01 · mock,auto-generated,hi

Anonymous VPS पर Tor Hidden Service कैसे सेटअप करें

घर के residential connection से Tor hidden service चलाना तब तक ठीक है जब तक आपका ISP contract renegotiate नहीं करता, IPv4 lease rotate नहीं होती, या किसी कोर्ट order के साथ कोई आपके दरवाज़े पर नहीं पहुँचता। .onion address का पूरा मकसद यही है कि service को real-world identity से अलग रखा जाए, और यह अलगाव उसी क्षण ढह जाता है जब underlying network path को बिजली के बिल पर लिखे नाम तक trace किया जा सके। यही वजह है कि जो operators long-term durability की परवाह करते हैं — Monero remote nodes, BTCPay servers, Matrix bridges, getmonero.org के mirrors — वे लगभग हमेशा ऐसे host से dedicated virtual private server किराए पर लेते हैं जो बिना identity verification के payment स्वीकार करता है।

यह गाइड 2026 की पूरी pipeline को step-by-step समझाती है: ऐसा VPS provider चुनना जो Monero या unmarked cash लेता हो, anonymously payment करना, fresh Debian 12 install को harden करना, और एक v3 onion service खड़ी करना जो reboots, kernel updates, और कभी-कभार होने वाले rDNS scan को झेल जाए। उदाहरण मान कर चलते हैं कि आप Monero node expose करना चाहते हैं, लेकिन यही recipe किसी भी TCP service पर लागू होती है — Lightning, SSH, IRC, या ऐसी static website जिसे आप अपने legal नाम से जोड़ना नहीं चाहते। जब लक्ष्य MoneroSwapper जैसी service तक fully isolated endpoint से पहुँचना हो, तब यह network layer ही वह हिस्सा है जिसे बाक़ी कुछ भी मायने रखने से पहले सही करना ज़रूरी है।

Hidden services के लिए anonymous hosting क्यों ज़रूरी है

Tor v3 onion address एक ed25519 public key से निकलता है। Cryptographic guarantee सीधा है: जो भी .onion तक पहुँचता है वह तीन Tor relay hops से होकर connect करता है, और rendezvous point को कभी server का IP पता नहीं चलता। यहाँ तक सब ठीक है। लेकिन Tor यह नहीं छिपा सकता कि आपने Hetzner को €4.50 प्रति माह अपने नाम से जुड़े Visa card से चुकाए। जिस क्षण कोई विरोधी पक्ष uptime patterns या किसी config leak को billing record से जोड़ देता है, उसी क्षण service की पूरी anonymity property भाप बनकर उड़ जाती है।

जो threat models no-KYC VPS को justify करते हैं वे ठोस और एक-दूसरे से जुड़े हुए हैं:

  • क़ानूनी समन (Subpoena) का दबाव: Mainstream hosts (Vultr, DigitalOcean, Hetzner, OVH) पूरा KYC record और payment history रखते हैं। अमेरिका के grand-jury subpoena, EU के Article 18 production order, यूके के Investigatory Powers Act notice, या भारत में IT Act की Section 69 के तहत आए निर्देश के सामने वे records कम से कम घर्षण के साथ और बिना public disclosure के सौंप दिए जाते हैं।
  • Civil litigation discovery: कोई privacy मुक़दमा, copyright complaint, या trademark dispute भी provider को मजबूर कर सकता है कि वह IP के पीछे बैठे customer की पहचान बताए — इसके लिए कोई criminal proceeding भी ज़रूरी नहीं। Discovery indictment से तेज़ और सस्ती होती है।
  • Network-side fingerprinting: Hidden service ठीक से configure होने के बावजूद application-layer leaks (server banners, NTP source, error pages में kernel version) .onion को public IP से जोड़ सकते हैं। Anonymous payment यह सुनिश्चित करता है कि वह correlation किसी नाम तक न पहुँचे।
  • Operational resilience: जो hosts पहले से KYC-free काम करते हैं वे threat surface को समझते हैं। वे आमतौर पर abuse report पर तुरंत VPS नहीं उड़ाते क्योंकि उन्हें पता है कि उनके customers के पास privacy के असली कारण हैं, हर शिकायत को ground truth मानने की ज़रूरत नहीं।

Monero ecosystem इसका सबसे साफ़ उदाहरण है। monero.fail पर या Cake Wallet की default seed list में listed public remote nodes अक्सर v3 onion services के रूप में चलते हैं क्योंकि operators service देना चाहते हैं पर target नहीं बनना चाहते। यही logic atomic swap clients, P2Pool sidechains, और merchant-side BTCPay deployments पर भी लागू होता है। एक बार आप इनमें से कोई भी चला कर देख लें, तो जल्दी ही समझ आ जाता है कि VPS-और-onion combination paranoid extreme नहीं बल्कि default है।

2026 में KYC-free VPS provider कैसे चुनें

2024 के FATF Travel Rule विस्तार और EU की CARF (Crypto-Asset Reporting Framework) के 1 January 2026 से लागू होने के बाद, साथ ही भारत में CBDT के नए reporting framework और RBI की offshore exchange guidelines के बाद, सच में anonymously payment स्वीकार करने वाले providers की list छोटी ज़रूर हुई है लेकिन ख़त्म नहीं हुई। जो European hosters बचे हैं वे वही हैं जो privacy को marketing afterthought की तरह नहीं बल्कि अपनी पहचान के केंद्र में रखते हैं, और जो offshore providers बचे हैं वे वही हैं जिनके पास fishing expeditions को मना करने का documented track record है।

इस market में काम लायक provider की तीन निशानियाँ हैं:

  1. Monero (पहली पसंद) या mixing-friendly channels के ज़रिए Bitcoin स्वीकार करता हो, और email verification सिर्फ़ इतना कि एक काम करने वाले address पर one-time link पहुँच जाए।
  2. signup flow में कहीं भी phone number, government ID upload, selfie, या credit-card 3-D Secure handshake की माँग न हो — भारत में यह विशेष रूप से ज़रूरी है क्योंकि Aadhaar या PAN-linked payment instruments इस्तेमाल हो ही नहीं सकते।
  3. ऐसे jurisdiction से operate करता हो जिसकी privacy को लेकर रुख़ साफ़ हो — Iceland, Switzerland, Romania, Bulgaria, या कुछ specific offshore zones — संयुक्त राज्य अमेरिका के किसी Fifth Amendment edge case से नहीं।

नीचे दी गई table में 2025 के अंत में Monero operators द्वारा सबसे ज़्यादा cite किए गए providers का सारांश है, उनकी entry-tier pricing और प्रमुख trade-offs के साथ। दाम XMR/INR rate के साथ बदलते रहते हैं; इन्हें ballpark figure मानें।

ProviderEntry price / monthफ़ायदेनुक़सान
Njalla (SE/NL)~€15मज़बूत privacy track record, Monero सीधे स्वीकार, अपना ASN चलाता है, custodial domain registration की सुविधा।दाम ऊँचे, fleet छोटा, कभी-कभी VPS waitlist।
1984 Hosting (IS)~€10Iceland का jurisdiction, geothermal-powered datacentre, third-party gateway से Monero स्वीकार।सीमित IPv4 supply, सिर्फ़ एक datacentre region।
BitLaunch (multi)~$5DigitalOcean, Vultr और Linode को crypto front-end के पीछे resell करता है, बहुत तेज़ deploys, hourly billing।Underlying provider के पास अब भी network logs होते हैं; upstream subpoena के सामने bulletproof नहीं।
Cockbox (US)~$15Free-speech operator, Monero स्वीकार, public no-logs policy।US jurisdiction, छोटा one-person operation, कोई SLA नहीं।
BuyVM / Frantech (LU/CA)~$3.50सबसे सस्ता sustained option, crypto लेता है, अधिकांश plans पर बेहिसाब bandwidth।Privacy-forward branding कम; payment hygiene आपकी ज़िम्मेदारी।
Privex (multi)~€5लंबे समय से Monero-friendly host, Iceland और Sweden में footprint, IPv6-only tiers का support।Stock घटता-बढ़ता रहता है, सबसे सस्ते tier पर पुराना hardware।

जहाँ भी Monero का option मिले वहाँ Monero से ही payment करें। Bitcoin payments, चाहे CoinJoin या no-KYC swap से routed हों, एक traceable UTXO graph छोड़ जाते हैं जिसे भविष्य का chain analysis collapse कर सकता है। Monero का RingCT, Bulletproofs+, और stealth address construction — इन तीनों के साथ payment-side deanonymization मौजूदा प्रकाशित techniques से लगभग असंभव है। अगर provider सिर्फ़ Bitcoin लेता है, तो MoneroSwapper या समकक्ष no-account swap का इस्तेमाल कर XMR को आख़िरी संभव क्षण पर BTC में बदलें, fresh wallet से सीधा payment address पर भेजें, और उस source wallet को किसी और काम के लिए कभी दोबारा न इस्तेमाल करें।

Email और signup hygiene

हर provider के लिए fresh email इस्तेमाल करें — cock.li, danwin1210.de जैसे disposable inboxes, या किसी अलग domain पर self-hosted catch-all। कोई username, password, या SSH key fingerprint दोबारा न इस्तेमाल करें जो किसी और context में मौजूद हो। Signup IP पहले से Tor पर हो या ऐसे VPN पर जिसका payment उसी identity से न जुड़ा हो जिससे आप कुछ और चलाते हैं। हर form field को permanent disclosure मानें: signup में जो भी आप टाइप करते हैं वह VPS की पूरी ज़िंदगी के लिए worst-case identification surface है, और यह ज़िंदगी सालों तक खिंच सकती है।

Step-by-step: Tor v3 onion service deploy करना

नीचे दी गई प्रक्रिया मानती है कि आपके पास एक fresh Debian 12 (Bookworm) VPS है, एक public IPv4, root SSH access, और rental Monero से पहले ही चुकाया जा चुका है। Steps copy-paste करने लायक लिखे हैं, लेकिन हर step को execute करने से पहले पढ़ें — releases के बीच defaults बदलते हैं और एक लापरवाह paste आपको box से बाहर lock कर सकता है।

  1. शुरुआती hardening। root से SSH में जाएँ, sudo वाला non-root user बनाएँ, /etc/ssh/sshd_config में root login और password authentication disable करें, sshd restart करें, और default-deny inbound के साथ ufw enable करें। Tor install और verify होने तक सिर्फ़ SSH (बेहतर हो कि non-standard port पर) खुला रखें।
  2. System updates और baseline packages। apt update && apt full-upgrade -y चलाएँ, फिर tor, nyx, ufw, fail2ban, unattended-upgrades, और apt-listbugs install करें। dpkg-reconfigure -plow unattended-upgrades से automatic security updates enable करें और systemctl status unattended-upgrades से confirm करें।
  3. Official Tor repository install करें। Debian-shipped Tor अक्सर हफ़्तों पीछे होता है। Tor Project का repo /etc/apt/sources.list.d/tor.list में जोड़ें, signing key import करें, और upstream से tor तथा tor-geoipdb reinstall करें। tor --version से confirm करें — 2026 में 0.4.8.x या नया version मिलना चाहिए।
  4. Hidden service configure करें। /etc/tor/torrc edit करें: HiddenServiceDir /var/lib/tor/monero-node/ जोड़ें, फिर public Monero remote node के लिए HiddenServicePort 18089 127.0.0.1:18089, और आख़िर में HiddenServiceVersion 3। Non-Monero services के लिए जिस भी port पर आपका application locally listen करता है उसे onion पर जिस भी port पर expose करना है उससे map कर दें।
  5. Tor start करें और onion address पढ़ें। systemctl restart tor@default चलाएँ, nyx में 100% तक successful bootstrap का इंतज़ार करें, फिर cat /var/lib/tor/monero-node/hostname.onion पर ख़त्म होने वाला 56-character ed25519 address ही आपकी service identity है। उस directory का content — ख़ासकर hs_ed25519_secret_key — encrypted offline medium पर backup कर लें, क्योंकि उसे खो देने का मतलब है address हमेशा के लिए खो देना।
  6. Application को सिर्फ़ localhost पर bind करें। अपनी service की configuration edit करके उसे 0.0.0.0 की जगह 127.0.0.1 पर listen कराएँ। Monero daemon के लिए monerod.conf में rpc-bind-ip=127.0.0.1 set करें और public endpoint पर wallet operations मना करने के लिए --restricted-rpc flag pass करें। Application restart करें और ss -tlnp से confirm करें कि public interface पर कुछ भी bound नहीं है।
  7. External रूप से verify करें। किसी अलग machine पर चल रहे Tor Browser से .onion address पर जाएँ। Application को बिल्कुल वैसे ही respond करना चाहिए जैसे clearnet पर करता है, बिना headers या error pages में underlying IP leak किए। किसी भी Tor-enabled host से scripted checks के लिए curl --socks5-hostname 127.0.0.1:9050 http://yourservice.onion/ इस्तेमाल करें।
  8. Optional: vanity onion generate करें। mkp224o जैसे tools मनचाहे prefix के लिए ed25519 keypairs brute-force करते हैं। आधुनिक CPU पर 6-character prefix मिनटों में, 8-character घंटों में, और 10-character GPU पर दिनों में मिलता है। ऐसे prefixes से बचें जो आपके legal नाम, project alias, या किसी और linkable string से मेल खाते हों — वरना पूरी कसरत का मक़सद ही ख़त्म हो जाता है।
Onion service उतनी ही anonymous है जितनी उसके सबसे कमज़ोर application-layer leak से तय होती है। एक Monero node जो error messages में अपना hostname छाप दे, या एक webserver जो underlying IP-based reverse DNS वाला Server header भेज दे, वह Tor config की पूरी सावधानी के बावजूद deployment compromise कर देगा।

Hardening, monitoring, और operational discipline

Tor daemon एक component है। बाक़ी system को भी उसी threat model से match करना होगा वरना वही chain की सबसे कमज़ोर कड़ी बन जाता है। swapoff -a से swap पूरी तरह disable करें और /etc/fstab से swap entry हटा दें ताकि ed25519 secret material कभी disk पर paged न हो। kernel.kptr_restrict=2, kernel.dmesg_restrict=1, और linux-hardening में bundled या Whonix sysctl reference से लिए गए बाक़ी kernel-hardening sysctls enable करें। Tor और आपके application के लिए AppArmor profiles मामूली configuration cost पर एक और layer जोड़ देते हैं।

nftables या ufw को configure करें कि वह SSH के अलावा सारी inbound traffic drop करे — और आदर्श स्थिति में सिर्फ़ आपके management IPs से, अगर वे stable हैं। नहीं तो strong key authentication और fail2ban के rate-limiting पर भरोसा करें। Outbound में सिर्फ़ वही allow करें जो Tor को चाहिए: relay traffic के लिए TCP 443 और 9001/9030 (अगर box Tor relay भी है), और किसी भी application को नाम resolve करने के लिए DNS Tor SOCKS port से करवाएँ। किसी application को VPS provider के clearnet DNS resolver से सीधी बात कभी न करने दें — वह path provider के logs में आपकी application के अस्तित्व को चुपचाप leak करता है।

Local monitoring nyx से करें और अगर remote graphing चाहिए तो Prometheus metrics उसी onion service के ऊपर भेजें। किसी third-party SaaS पर logs या metrics push करने से बचें — वह deanonymization का textbook vector है। Log rotation आक्रामक होनी चाहिए: logrotate daily, maxage 7 के साथ, और हर हफ़्ते एक cron में journalctl --vacuum-time=7d। Disk पर जितना कम historical data बैठा रहेगा, हमलावर के लिए ज़ब्त करने को उतना कम होगा और बाद में सफ़ाई देने को भी उतना कम।

Backups का अपना discipline है। hs_ed25519_secret_key file वह एक चीज़ है जिसे आप regenerate नहीं कर सकते। उसे age या GPG से किसी मज़बूत passphrase के साथ encrypt करें, कम से कम दो offline media पर store करें (USB sticks और एक sealed envelope में paper-printed base64), और कम से कम एक copy अपने मुख्य ठिकाने से भौगोलिक रूप से अलग रखें। बाक़ी system के लिए पूरा disk image backup करने की बजाय configuration management (Ansible, NixOS, या private repo में shell scripts) से rebuild करें — system ephemeral होना चाहिए और सिर्फ़ secret stable।

भारतीय operators के लिए विशेष विचार

भारत से operate करने वाले लोगों के लिए कुछ ख़ास बातें हैं। RBI ने 2018 की banking ban को 2020 में सुप्रीम कोर्ट ने पलट दिया था, पर 2022 से 30% capital-gains tax और 1% TDS के साथ-साथ CBDT exchange-side reporting बढ़ती जा रही है। DPDP Act 2023 lawful processing की माँग करता है पर state surveillance पर बहुत कम पाबंदी लगाता है — Enforcement Directorate (ED) और IT Act की Section 69 के तहत data access requests लगातार और अक्सर secret होते हैं। मतलब यह कि Indian payment instruments (UPI, Indian credit cards, NEFT) से VPS payment करना — चाहे offshore provider को हो — एक permanent paper trail छोड़ देता है जो domestic legal process से reach में रहता है।

व्यावहारिक सलाह: XMR को एक no-KYC P2P platform जैसे LocalMonero के successor protocols या Bisq से acquire करें, payment के तुरंत पहले एक fresh wallet में transfer करें, और MoneroSwapper या सीधे provider के Monero address पर भेजें। AWS Mumbai या DigitalOcean Bangalore region से बचें — ये भारतीय jurisdiction में हैं और domestic court orders से directly subject हैं। बेहतर है कि VPS भौगोलिक रूप से भी एक neutral location पर हो — Iceland, Switzerland, या Romania — ताकि latency मामूली बढ़े पर legal reach काफ़ी कम हो जाए।

अक्सर पूछे जाने वाले प्रश्न (FAQ)

क्या मैं VPS की जगह घर से Tor hidden service चला सकता हूँ?

Technically हाँ — Tor को इस बात की परवाह नहीं कि server कहाँ रहता है। Practically, residential connections uptime risk लाते हैं (बिजली जाना, ISP renegotiation, dynamic IP rotation से long-lived guard relays टूटना), और कोई भी leak जो public IP expose कर दे वह anonymity को आपके ISP-बिल वाली identity तक collapse कर देता है। एक no-KYC VPS service को आपके real-world footprint से मामूली कीमत पर अलग करता है — €5 से €15 प्रति माह — और अधिकांश अनुभवी operators इस trade-off को साफ़ मानते हैं।

क्या Monero से payment सच में मुझे VPS provider से छिपाता है?

Payment की तरफ़ से, हाँ। Monero का RingCT, ring signatures, stealth addresses, और Dandelion++ transaction relay आपके wallet और जिस deposit address पर आप भेजते हैं उसके बीच का link तोड़ देते हैं। VPS provider को एक incoming payment दिखती है जिसमें plaintext sender नहीं होता। Payment hygiene जो ठीक नहीं कर सकती वह बाक़ी signup process है: कहीं और इस्तेमाल किया हुआ email, public forum से लिया गया username, या non-anonymous account से जुड़ी SSH key fingerprint। Anonymity को chain मानें — Monero उसकी एक कड़ी है, पूरी chain नहीं।

v3 onion address कितने समय तक चलता है?

Indefinitely, जब तक आप hs_ed25519_secret_key file को सुरक्षित रखें। Address उस key से deterministically derive होता है। आप directory को नए VPS पर copy कर सकते हैं, Tor restart कर सकते हैं, और वही .onion address minutes में नए server पर resolve होने लगेगा। यह operational resilience की बुनियाद है: जब एक VPS untrustworthy या unavailable हो जाए, तो आप key migrate करते हैं, address नहीं, और clients अपनी तरफ़ बिना किसी बदलाव के reconnect हो जाते हैं।

क्या मुझे अपना Monero node चलाना ज़रूरी है, या Tor पर किसी public node से काम चल जाएगा?

दोनों जायज़ हैं। Public onion nodes (monero.fail पर listed) convenient हैं और कोई infrastructure नहीं माँगते, लेकिन वे आपके transaction broadcasts और queries देखते हैं। अपना node अपने hidden service के पीछे चलाना तक़रीबन 200 GB disk और VPS bill का खर्च माँगता है, पर trust requirement पूरी तरह हटा देता है। High-value flows के लिए — जिसमें MoneroSwapper से funds convert करना भी शामिल है, बिना किसी third-party endpoint पर correlatable metadata छोड़े — self-hosted node ही material रूप से मज़बूत posture है।

अगर मेरी hidden-service private key ज़ब्त हो जाए तो क्या होगा?

जिसके पास hs_ed25519_secret_key file है वह आपके .onion address पर अपनी infrastructure से traffic serve कर सकता है, और clients के लिए substitution indistinguishable होगा। इसलिए backups को at-rest encrypted होना चाहिए, सिर्फ़ आपको पता passphrase के साथ — अकेले VPS पर full-disk encryption काफ़ी नहीं, क्योंकि running system memory में key रखता है। अगर ज़ब्ती निकट लगे, तो तुरंत नए onion address पर rotate करें और बदलाव की घोषणा पहले से signed out-of-band channel से करें जिस पर clients पहले से भरोसा करते हों।

निष्कर्ष

Anonymous VPS पर Tor hidden service set up करना एक product purchase नहीं है; यह jurisdiction, payment hygiene, system hardening, और key management के बारे में लिए गए फ़ैसलों का एक sequence है। हर step एक identification surface को बंद करता है और बाक़ी को खुला छोड़ देता है। इन सब को एक साथ करने का मक़सद यह है कि कोई एक failure — provider audit, misconfigured banner, leaked log line — पूरा stack collapse न करे। Monero operators और किसी भी ऐसे व्यक्ति के लिए जिसे durable, no-KYC infrastructure चाहिए, ऊपर दिया गया recipe ही working baseline है। जब आप दूसरी तरफ़ MoneroSwapper onion endpoint जैसी कोई service से जुड़ें, तब वही standards client side पर भी लागू होते हैं: end-to-end पूरा path अपने नियंत्रण में रखें, या यह स्वीकार कर लें कि असल में आपके पास privacy है ही नहीं।

← back to blog