Как настроить скрытый сервис Tor на анонимном VPS

Поднять Tor hidden service с домашнего подключения вполне работоспособно — ровно до того момента, пока провайдер не перевыпустит договор, не сменится IPv4 по DHCP-аренде, или к подъезду не подъедет машина с предписанием. Весь смысл .onion-адреса в том, чтобы оторвать сервис от персональной идентичности; и эта развязка рушится в ту же секунду, когда сетевой путь до сервиса удаётся свести к фамилии в квитанции за интернет. Именно поэтому операторы, которым важна долговременная устойчивость — удалённые ноды Monero, BTCPay-сервера, Matrix-мосты, зеркала getmonero.org — почти всегда арендуют выделенный VPS у хостера, принимающего оплату без верификации личности.

Это руководство проводит через полный конвейер 2026 года: выбор VPS-провайдера, принимающего Monero или наличные без меток, анонимная оплата, базовая закалка свежей установки Debian 12 и поднятие v3 onion-сервиса, переживающего перезагрузки, обновления ядра и эпизодические rDNS-сканы. Примеры предполагают, что вы планируете выставить наружу ноду Monero, но тот же рецепт работает для любого TCP-сервиса — Lightning, SSH, IRC или статического сайта, который вы предпочли бы не связывать с паспортными данными. Когда конечная цель — достучаться до сервиса вроде MoneroSwapper через полностью изолированную точку, именно сетевой слой должен быть в порядке прежде, чем имеет смысл говорить обо всём остальном.

Зачем анонимный хостинг для скрытых сервисов

v3 onion-адрес в Tor выводится из публичного ключа ed25519. Криптографическая гарантия здесь прямая: любой, кто доходит до .onion, проходит через три прыжка Tor-релеев, а точка рандеву никогда не узнаёт IP-адрес сервера. Эта часть надёжна. Чего Tor не может — это скрыть факт, что вы заплатили Hetzner 4,50 € в месяц с Visa, привязанной к вашему имени. Стоит враждебной стороне сопоставить паттерны аптайма или утечку из конфига с биллинговой записью, и вся анонимность сервиса испаряется.

Модели угроз, оправдывающие no-KYC VPS, конкретны и часто пересекаются:

• Давление через запросы органов: крупные хостеры (Vultr, DigitalOcean, Hetzner, OVH) хранят KYC-данные и полную историю платежей. По запросу СК РФ, ФСБ через СОРМ, по американской grand-jury subpoena или европейскому ордеру в рамках Article 18 EPPO эти записи отдаются без лишнего трения и без публичной огласки.
• Раскрытие в гражданском процессе: иск о защите чести, антипиратская претензия или товарный спор могут обязать провайдера раскрыть владельца IP без какого-либо уголовного дела. Discovery в гражданском процессе быстрее и дешевле возбуждения уголовного.
• Фингерпринтинг на сетевом уровне: даже при корректной конфигурации hidden service утечки прикладного уровня (баннеры в HTTP-ответах, источник NTP-синхронизации, версия ядра в сообщениях об ошибках) могут привязать .onion к публичному IP. Анонимная оплата гарантирует, что эта корреляция не докатится до имени.
• Операционная устойчивость: хостеры, изначально работающие без KYC, понимают поверхность угроз. Они, как правило, готовы принять abuse-обращение без немедленного сноса VPS, потому что ожидают у клиентов легитимные причины для приватности, а не относятся к каждой жалобе как к доказанному факту.

Экосистема Monero — канонический пример. Публичные удалённые ноды из списка monero.fail или из seed-листа Cake Wallet регулярно работают как v3 onion-сервисы, потому что операторы хотят предоставлять услугу, не становясь мишенью. Та же логика применима к клиентам атомарных свопов, к сайдчейнам P2Pool и к мерчантским BTCPay-инсталляциям. Стоит один раз поднять что-либо из этого, и становится очевидно, почему связка VPS + onion — это базовая, а не параноидальная конфигурация.

Выбор KYC-free VPS-провайдера в 2026 году

После расширений FATF Travel Rule в 2024-м и вступления в силу европейского CARF (Crypto-Asset Reporting Framework) с 1 января 2026-го список провайдеров, реально принимающих анонимные платежи, сократился, но не исчез. Из европейских хостеров выжили те, кто открыто строит бизнес вокруг приватности, а не предлагает её как маркетинговый бонус сверху, а из офшорных — те, у кого задокументированная история отказов отвечать на «рыбацкие» запросы.

Три константы определяют пригодного провайдера на этом рынке:

1. Принимает Monero (предпочтительно) или Bitcoin через каналы, дружелюбные к миксингу, без верификации почты сверх простого работающего адреса, способного принять одноразовую ссылку.
2. Не требует номера телефона, скана документа, селфи и не запускает 3-D Secure с обращением к банку-эмитенту ни на одном шаге регистрации.
3. Работает из юрисдикции с защитимой позицией по приватности — Исландия, Швейцария, Румыния, Болгария или конкретные офшорные зоны — а не из калифорнийской ниши Пятой поправки.

В таблице ниже сведены провайдеры, которых чаще всего упоминают операторы Monero к концу 2025 года, с ценой за младший тариф и ключевыми компромиссами. Цены пляшут вместе с курсом XMR/EUR; относитесь к ним как к ориентиру, а не к точному прайсу.

Провайдер	Стартовая цена / мес.	Плюсы	Минусы
Njalla (SE/NL)	~15 €	Сильная репутация по приватности, принимает Monero напрямую, свой ASN, кастодиальная регистрация доменов.	Высокий ценовой пояс, маленький парк, периодический лист ожидания на VPS.
1984 Hosting (IS)	~10 €	Исландская юрисдикция, геотермальное питание, Monero через сторонний платёжный шлюз.	Дефицит IPv4, всего один датацентр.
BitLaunch (multi)	~5 $	Реселлит DigitalOcean, Vultr и Linode за крипто-фронтом, очень быстрые деплои, почасовой биллинг.	Логи лежат у нижестоящего провайдера; против запроса к апстриму не спасает.
Cockbox (US)	~15 $	Оператор-сторонник свободы слова, принимает Monero, публичная no-logs политика.	Юрисдикция США, бизнес одного человека, никаких SLA.
BuyVM / Frantech (LU/CA)	~3,50 $	Самый дешёвый стабильный вариант, принимает крипту, щедрый безлимитный трафик на большинстве тарифов.	Бренд без приватного фокуса; гигиена оплаты — на вас.
Privex (multi)	~5 €	Долгоиграющий Monero-friendly хостер, точки присутствия в Исландии и Швеции, тарифы только-IPv6.	Сток скачет, на самых дешёвых тарифах старое железо.

Платите в Monero везде, где такая опция вообще есть. Платежи в Bitcoin, даже прогнанные через CoinJoin или non-KYC своп, оставляют прослеживаемый граф UTXO, который будущий чейн-анализ может схлопнуть. RingCT, Bulletproofs+ и stealth-адреса Monero делают деанонимизацию на стороне оплаты практически невозможной с известными на сегодня техниками. Если провайдер берёт только Bitcoin, используйте MoneroSwapper или эквивалентный своп без аккаунта, чтобы конвертировать XMR в BTC в самый последний момент, отправляйте напрямую на платёжный адрес с свежего кошелька и никогда не переиспользуйте этот кошелёк ни для чего другого.

Гигиена почты и регистрации

На каждого провайдера — свежая почта: одноразовые ящики на cock.li, danwin1210.de или собственный catch-all на отдельном домене. Никогда не переиспользуйте имя пользователя, пароль или fingerprint SSH-ключа, существующий в каком-либо другом контексте. IP, с которого вы регистрируетесь, уже должен быть Tor или VPN, оплаченный не той же личностью, что и что-либо другое в вашем хозяйстве. Относитесь к каждому полю формы как к постоянному раскрытию: всё, что вы вписали при регистрации — это худший сценарий идентификации на весь срок жизни VPS, а этот срок может растянуться на годы.

Пошагово: разворачивание v3 onion-сервиса Tor

Процедура ниже предполагает свежий Debian 12 (Bookworm) на VPS с одним публичным IPv4, root-доступом по SSH и уже оплаченной арендой через Monero. Команды написаны так, чтобы их можно было копипастить, но прочитайте каждый шаг прежде, чем выполнять — дефолты меняются от релиза к релизу, и неаккуратная вставка может выкинуть вас из бокса.

1. Первичная закалка. Зайдите по SSH как root, создайте non-root пользователя с sudo, отключите root-логин и парольную аутентификацию в /etc/ssh/sshd_config, перезапустите sshd и включите ufw с дефолтным запретом входящего. Откройте только SSH (желательно на нестандартном порту), пока Tor не установлен и не проверен.
2. Обновление системы и базовые пакеты. Выполните apt update && apt full-upgrade -y, затем установите tor, nyx, ufw, fail2ban, unattended-upgrades и apt-listbugs. Включите автоматические security-обновления через dpkg-reconfigure -plow unattended-upgrades и проверьте systemctl status unattended-upgrades.
3. Подключите официальный репозиторий Tor. Tor из дебиановских репозиториев часто отстаёт на недели. Добавьте репозиторий Tor Project в /etc/apt/sources.list.d/tor.list, импортируйте подписной ключ, переустановите tor и tor-geoipdb с апстрима. Проверьте tor --version — в течение 2026-го ожидайте 0.4.8.x или новее.
4. Сконфигурируйте hidden service. Откройте /etc/tor/torrc: добавьте HiddenServiceDir /var/lib/tor/monero-node/, затем HiddenServicePort 18089 127.0.0.1:18089 для публичной удалённой ноды Monero, и наконец HiddenServiceVersion 3. Для не-Monero сервисов сопоставьте порт, на котором ваше приложение слушает локально, с тем портом, который вы хотите выставить на onion.
5. Запустите Tor и считайте onion-адрес. Выполните systemctl restart tor@default, дождитесь в nyx успешного bootstrap до 100% и затем cat /var/lib/tor/monero-node/hostname. 56-символьный ed25519-адрес, заканчивающийся на .onion, — это идентичность вашего сервиса. Скопируйте содержимое директории — в особенности hs_ed25519_secret_key — на зашифрованный офлайн-носитель, потому что потеря ключа означает потерю адреса навсегда.
6. Привяжите приложение только к localhost. Поправьте конфиг сервиса так, чтобы он слушал на 127.0.0.1, а не на 0.0.0.0. Для демона Monero выставьте rpc-bind-ip=127.0.0.1 в monerod.conf и передайте флаг --restricted-rpc, чтобы публичный эндпойнт отказывал в кошельковых операциях. Перезапустите приложение и убедитесь через ss -tlnp, что на публичный интерфейс не привязано ничего.
7. Проверьте снаружи. С отдельной машины с Tor Browser зайдите на .onion-адрес. Приложение должно отвечать ровно так, как ответило бы по клирнету, без утечек реального IP в заголовках или сообщениях об ошибках. Для скриптовых проверок с любого Tor-хоста удобно использовать curl --socks5-hostname 127.0.0.1:9050 http://yourservice.onion/.
8. Опционально: vanity onion. Утилиты типа mkp224o брутфорсят пары ключей ed25519 под нужный префикс. Префикс из 6 символов считается минуты на современном CPU; 8 символов — часы; 10 символов — дни на GPU. Избегайте префиксов, совпадающих с вашим именем, никнеймом проекта или любой другой связываемой строкой — иначе теряется весь смысл упражнения.

Onion-сервис настолько же анонимен, насколько прочна его самая слабая утечка на прикладном уровне. Нода Monero, печатающая хостнейм в сообщениях об ошибках, или веб-сервер, отдающий заголовок Server с обратным DNS публичного IP, скомпрометируют развёртывание независимо от того, насколько аккуратно был настроен сам Tor.

Закалка, мониторинг и операционная дисциплина

Демон Tor — всего лишь один компонент. Остальная часть системы должна соответствовать его модели угроз, иначе именно она станет слабым звеном. Полностью отключите своп через swapoff -a и удалите запись о свопе из /etc/fstab, чтобы секретный материал ed25519 никогда не отправлялся на диск. Включите kernel.kptr_restrict=2, kernel.dmesg_restrict=1 и остальные kernel-hardening sysctl из пакета linux-hardening или из референса Whonix. Профили AppArmor для Tor и вашего приложения добавляют ещё один слой по скромной стоимости конфигурации.

Сконфигурируйте nftables или ufw так, чтобы дропать весь входящий трафик кроме SSH — а в идеале только с ваших управляющих IP, если они стабильны. В остальных случаях полагайтесь на сильную ключевую аутентификацию и rate-limiting через fail2ban. Исходящий — разрешите только то, что нужно Tor: TCP 443 и 9001/9030 для релейного трафика, если бокс заодно работает как relay, и принудительно гоните DNS через Tor SOCKS для любого приложения, которому нужно разрешение имён. Никогда не позволяйте приложению напрямую обращаться к клирнет-резолверу провайдера VPS — этот путь тихо сливает само существование вашего приложения в логи провайдера.

Локально мониторьте через nyx и отдавайте метрики Prometheus поверх самого onion-сервиса, если нужен удалённый графический мониторинг. Не отправляйте логи или метрики ни в какие сторонние SaaS — это классический вектор деанонимизации. Ротация логов должна быть агрессивной: logrotate ежедневно с maxage 7 и journalctl --vacuum-time=7d в недельном cron-задании. Чем меньше исторических данных лежит на диске, тем меньше есть, что изъять враждебному актору, и тем меньше потом придётся объяснять.

Бэкапы заслуживают отдельной дисциплины. Файл hs_ed25519_secret_key — единственная часть состояния, которую нельзя пересоздать. Зашифруйте его через age или GPG с сильной парольной фразой, храните минимум на двух офлайн-носителях (флешки плюс бумажная распечатка base64 в запечатанном конверте), и держите одну копию географически отдельно от основного места. Остальное — пересобирайте из системы управления конфигурациями (Ansible, NixOS или shell-скрипты в приватном репозитории), а не бэкапьте образ диска целиком: система должна быть эфемерной, стабильным должен быть только секретный ключ.

FAQ

Можно ли поднять Tor hidden service из дома вместо VPS?

Технически — да, Tor безразлично, где живёт сервер. Практически — домашние подключения добавляют риски аптайма (отключения электричества, смена тарифа провайдера, ротация динамического IP, ломающая долгоживущие guard-релеи), а любая утечка публичного IP схлопывает анонимность до вашей биллинговой идентичности у оператора связи. No-KYC VPS изолирует сервис от вашего физического следа за умеренные деньги — 5–15 € в месяц — и большинство опытных операторов считает этот размен очевидным.

Действительно ли оплата в Monero скрывает меня от провайдера VPS?

На стороне оплаты — да. RingCT, кольцевые подписи, stealth-адреса и Dandelion++ в Monero разрывают связь между вашим кошельком и адресом депозита, который вы оплачиваете. Провайдер видит входящий платёж без открытого отправителя. Чего гигиена оплаты не починит — это остальную часть процесса регистрации: почту, использованную ещё где-то, никнейм с публичного форума или SSH-ключ, общий с неанонимным аккаунтом. Относитесь к анонимности как к цепи — Monero это одно звено, а не вся цепь.

Сколько живёт v3 onion-адрес?

Бессрочно, пока вы храните в целости файл hs_ed25519_secret_key. Адрес выводится из этого ключа детерминированно. Можно скопировать директорию на новый VPS, перезапустить Tor, и тот же .onion-адрес начнёт указывать на новый сервер в течение нескольких минут. Это фундамент операционной устойчивости: когда один VPS становится ненадёжным или недоступным, вы переносите ключ, а не адрес — и клиенты переподключаются без каких-либо изменений со своей стороны.

Нужно ли поднимать свою ноду Monero, или можно пользоваться публичной по Tor?

Легитимны оба варианта. Публичные onion-ноды (из списка monero.fail) удобны и не требуют инфраструктуры, но они видят ваши транзакционные broadcast-ы и запросы. Своя нода за собственным hidden service стоит примерно 200 ГБ диска плюс счёт за VPS, но полностью убирает необходимость кому-либо доверять. Для сценариев высокой ценности — включая конвертацию через MoneroSwapper без коррелируемых метаданных на сторонних эндпойнтах — самостоятельная нода это материально более сильная позиция.

Что будет, если приватный ключ моего hidden service изымут?

Кто бы ни держал файл hs_ed25519_secret_key, он может обслуживать трафик на вашем .onion-адресе с любой инфраструктуры под своим контролем, и подмена для клиентов будет неотличима. Поэтому бэкапы обязаны быть зашифрованы on-rest парольной фразой, известной только вам — full-disk encryption на самом VPS недостаточно, потому что работающая система держит ключ в памяти. Если изъятие неминуемо, немедленно переключайтесь на новый onion-адрес и анонсируйте смену через ранее подписанный out-of-band канал, которому клиенты уже доверяют.

Заключение

Развёртывание Tor hidden service на анонимном VPS — это не разовая покупка продукта, а последовательность решений о юрисдикции, гигиене оплаты, закалке системы и управлении ключами. Каждый шаг закрывает одну идентификационную поверхность и оставляет остальные на виду. Смысл делать их все вместе в том, что ни единичный сбой — аудит у провайдера, неправильно настроенный баннер, утёкшая строка лога — не схлопывает всю цепочку целиком. Для операторов Monero и для всех, кому нужна устойчивая no-KYC инфраструктура, рецепт выше — это рабочий базис. Когда сервис на другой стороне канала — это что-то вроде onion-эндпойнта MoneroSwapper, те же стандарты применимы и на стороне клиента: либо вы владеете маршрутом end-to-end, либо у вас на самом деле нет приватности.