system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/thiet-lap-tor-hidden-service-vps-an-danh$ cat post.md

Cách thiết lập Tor Hidden Service trên VPS ẩn danh

// by ~anon · 2026-06-01 · mock,auto-generated,vi

Cách thiết lập Tor Hidden Service trên VPS ẩn danh

Chạy một Tor hidden service từ đường truyền dân dụng tại nhà thì vẫn hoạt động bình thường — cho đến khi nhà mạng tái đàm phán hợp đồng, IPv4 bị xoay vòng, hoặc một ai đó cầm trát của toà án xuất hiện trước cửa nhà bạn. Toàn bộ ý nghĩa của một địa chỉ .onion là tách rời dịch vụ khỏi danh tính ngoài đời thực, và sự tách rời đó sụp đổ ngay khoảnh khắc đường mạng phía dưới có thể bị truy ngược về một cái tên trên hoá đơn điện. Đó là lý do tại sao những người vận hành quan tâm đến độ bền dài hạn — Monero remote node, máy chủ BTCPay, cầu nối Matrix, mirror của getmonero.org — gần như luôn thuê một virtual private server riêng từ nhà cung cấp chấp nhận thanh toán mà không cần xác minh danh tính.

Hướng dẫn này đi qua toàn bộ quy trình cho năm 2026: chọn nhà cung cấp VPS chấp nhận Monero hoặc tiền mặt không đánh dấu, thanh toán ẩn danh, làm cứng (hardening) một bản Debian 12 mới cài, và dựng lên một v3 onion service có thể sống sót qua các lần khởi động lại, cập nhật kernel, và những đợt rà quét rDNS thi thoảng diễn ra. Các ví dụ giả định bạn muốn mở một Monero node ra ngoài, nhưng cùng công thức đó áp dụng cho bất kỳ dịch vụ TCP nào — Lightning, SSH, IRC, hay một website tĩnh mà bạn không muốn liên kết với họ tên thật của mình. Khi mục tiêu là tiếp cận một dịch vụ như MoneroSwapper qua một điểm cuối được cô lập hoàn toàn, lớp mạng này chính là phần phải làm đúng trước khi mọi thứ khác có ý nghĩa.

Vì sao hosting ẩn danh lại quan trọng với hidden service

Một địa chỉ Tor v3 onion được suy ra từ một khoá công khai ed25519. Bảo đảm mật mã học khá rõ ràng: bất kỳ ai tiếp cận .onion đều kết nối qua ba chặng relay của Tor, và điểm hẹn (rendezvous point) không bao giờ biết IP của máy chủ. Phần đó là vững. Cái Tor không thể làm là che giấu việc bạn đã trả Hetzner 4,50 EUR mỗi tháng bằng thẻ Visa gắn với tên bạn. Khoảnh khắc một bên có ác ý đối chiếu được mô hình uptime hoặc một rò rỉ cấu hình với hồ sơ thanh toán, toàn bộ thuộc tính ẩn danh của dịch vụ bốc hơi sạch sẽ.

Các mô hình mối đe doạ biện minh cho một VPS không-KYC là cụ thể và chồng lấn lên nhau:

  • Áp lực trát hầu toà: Các nhà cung cấp chính thống (Vultr, DigitalOcean, Hetzner, OVH) lưu trữ hồ sơ KYC và toàn bộ lịch sử thanh toán. Dưới một trát bồi thẩm đoàn của Mỹ, một lệnh Production Order theo Điều 18 của EU, hoặc một thông báo theo Investigatory Powers Act của Anh, những hồ sơ đó được bàn giao với rất ít ma sát và không công bố công khai.
  • Khám phá chứng cứ trong tố tụng dân sự: Một vụ kiện quyền riêng tư, khiếu nại bản quyền hoặc tranh chấp nhãn hiệu hoàn toàn có thể buộc nhà cung cấp tiết lộ khách hàng đứng sau một IP mà không cần bất kỳ vụ án hình sự nào. Khám phá chứng cứ nhanh hơn và rẻ hơn truy tố.
  • Vân tay (fingerprinting) ở phía mạng: Ngay cả khi một hidden service được cấu hình chuẩn, các rò rỉ ở tầng ứng dụng (banner máy chủ, nguồn NTP, phiên bản kernel hiện ra trong trang lỗi) vẫn có thể đối chiếu .onion với một IP công cộng. Thanh toán ẩn danh đảm bảo sự đối chiếu đó không truy ngược về được một cái tên.
  • Khả năng phục hồi vận hành: Những nhà cung cấp vốn đã hoạt động không-KYC hiểu rõ bề mặt mối đe doạ. Họ thường sẵn sàng nhận báo cáo lạm dụng (abuse report) mà không lập tức huỷ VPS, vì họ kỳ vọng khách hàng có lý do riêng tư hợp pháp chứ không xem mọi khiếu nại là chân lý.

Hệ sinh thái Monero là ví dụ điển hình. Các remote node công cộng được liệt kê trên monero.fail hoặc trong seed list mặc định của Cake Wallet thường xuyên chạy như v3 onion service vì người vận hành muốn cung cấp dịch vụ mà không trở thành mục tiêu. Cùng logic đó áp dụng cho client atomic swap, các sidechain P2Pool, và các triển khai BTCPay phía thương nhân. Khi bạn đã từng vận hành bất kỳ thứ nào trong số này, bạn nhanh chóng hiểu ra vì sao tổ hợp VPS-cộng-onion là mặc định chứ không phải một sự cực đoan hoang tưởng.

Chọn nhà cung cấp VPS không-KYC trong năm 2026

Sau khi quy định mở rộng FATF Travel Rule năm 2024 có hiệu lực và CARF (Crypto-Asset Reporting Framework) của EU chính thức áp dụng từ ngày 1 tháng 1 năm 2026, danh sách những nhà cung cấp thực sự chấp nhận thanh toán ẩn danh đã thu hẹp nhưng chưa biến mất. Các hoster châu Âu còn trụ lại là những đơn vị tự định vị bản thân xung quanh quyền riêng tư chứ không xem nó như một phụ kiện marketing, và các nhà cung cấp offshore còn lại là những đơn vị có lịch sử ghi nhận từ chối các đợt "câu cá" tìm thông tin.

Ba hằng số định nghĩa một nhà cung cấp dùng được trong thị trường này:

  1. Chấp nhận Monero (ưu tiên hơn) hoặc Bitcoin qua các kênh thân thiện với mixing, không yêu cầu xác minh email nào khác ngoài một địa chỉ hoạt động được để nhận một liên kết một lần.
  2. Không đòi số điện thoại, không yêu cầu tải lên giấy tờ chính phủ, không selfie, không có bước bắt tay 3-D Secure của thẻ tín dụng ở bất kỳ điểm nào trong luồng đăng ký.
  3. Vận hành từ một thẩm quyền có tư thế phòng vệ rõ ràng với quyền riêng tư — Iceland, Thuỵ Sĩ, Romania, Bulgaria, hoặc một số đặc khu offshore — chứ không phải từ một trường hợp ngoại lệ Tu chính án Thứ năm ở Mỹ.

Bảng dưới đây tóm tắt các nhà cung cấp thường được người vận hành Monero nhắc tới nhiều nhất vào cuối năm 2025, kèm mức giá gói nhập môn và những đánh đổi chính. Giá thay đổi theo tỷ giá XMR/EUR; hãy xem chúng như con số ước lượng.

Nhà cung cấpGiá khởi điểm / thángĐiểm mạnhĐiểm yếu
Njalla (SE/NL)~15 EURLịch sử riêng tư rất mạnh, chấp nhận Monero trực tiếp, vận hành ASN riêng kèm dịch vụ đăng ký tên miền dạng custodial.Giá cao hơn, quy mô nhỏ, thi thoảng có danh sách chờ VPS.
1984 Hosting (IS)~10 EURThẩm quyền Iceland, dùng điện địa nhiệt, chấp nhận Monero qua cổng bên thứ ba.Nguồn IPv4 hạn chế, chỉ một vùng datacenter duy nhất.
BitLaunch (đa vùng)~5 USDBán lại DigitalOcean, Vultr, và Linode đằng sau một front-end tiền điện tử, triển khai rất nhanh, tính tiền theo giờ.Nhà cung cấp gốc vẫn giữ log mạng; không chống đỡ được trát từ nhà cung cấp upstream.
Cockbox (US)~15 USDNgười vận hành ủng hộ tự do ngôn luận, chấp nhận Monero, chính sách không-log công khai.Thẩm quyền Mỹ, vận hành nhỏ một người, không có SLA.
BuyVM / Frantech (LU/CA)~3,50 USDLựa chọn rẻ nhất duy trì lâu dài, chấp nhận crypto, băng thông không tính dung lượng rộng rãi ở đa số gói.Thương hiệu không nghiêng hẳn về riêng tư; vệ sinh thanh toán hoàn toàn nằm ở bạn.
Privex (đa vùng)~5 EURNhà cung cấp thân Monero lâu năm, có hiện diện ở Iceland và Thuỵ Điển, hỗ trợ gói chỉ IPv6.Tồn kho biến động, phần cứng cũ ở gói rẻ nhất.

Hãy thanh toán bằng Monero bất cứ khi nào có lựa chọn đó. Thanh toán Bitcoin, kể cả khi đi qua CoinJoin hoặc một sàn swap không-KYC, vẫn để lại một đồ thị UTXO có thể bị truy vết và một phân tích chuỗi trong tương lai có thể làm sụp đổ. Cấu trúc RingCT, Bulletproofs+ và địa chỉ tàng hình (stealth address) của Monero khiến việc gỡ ẩn danh phía thanh toán trở nên gần như bất khả thi với các kỹ thuật đã công bố hiện nay. Nếu một nhà cung cấp chỉ chấp nhận Bitcoin, hãy dùng MoneroSwapper hoặc một sàn swap không-tài-khoản tương đương để chuyển XMR sang BTC vào thời điểm muộn nhất có thể, gửi thẳng tới địa chỉ thanh toán từ một ví hoàn toàn mới, và đừng bao giờ tái sử dụng ví nguồn cho bất kỳ việc gì khác.

Vệ sinh email và đăng ký

Hãy dùng một email mới cho mỗi nhà cung cấp — inbox dùng một lần như cock.li, danwin1210.de, hoặc một catch-all tự host trên một tên miền tách biệt. Đừng bao giờ tái sử dụng username, mật khẩu, hoặc dấu vân tay (fingerprint) SSH key đã tồn tại ở bất kỳ ngữ cảnh nào khác. IP dùng để đăng ký nên đã ở trên Tor hoặc trên một VPN không được trả bằng cùng danh tính với bất kỳ thứ gì khác bạn vận hành. Hãy xem mọi trường trong biểu mẫu là một công khai vĩnh viễn: bất cứ gì bạn gõ vào lúc đăng ký là bề mặt nhận diện tệ nhất có thể trong suốt vòng đời của chiếc VPS đó, và vòng đời ấy có thể kéo dài nhiều năm.

Từng bước: triển khai một Tor v3 onion service

Quy trình dưới đây giả định một VPS Debian 12 (Bookworm) mới cài, có một IPv4 công cộng duy nhất, quyền SSH root, và tiền thuê đã được thanh toán bằng Monero. Các bước được viết để có thể copy-paste, nhưng hãy đọc kỹ từng bước trước khi thực thi — mặc định thay đổi giữa các bản phát hành, và một cú dán bất cẩn có thể khoá bạn ra ngoài chính máy của mình.

  1. Làm cứng ban đầu. SSH vào với quyền root, tạo một user không-root có sudo, vô hiệu hoá đăng nhập root và xác thực bằng mật khẩu trong /etc/ssh/sshd_config, restart sshd, và bật ufw với mặc định chặn mọi kết nối vào. Chỉ mở SSH (tốt nhất là trên một cổng phi tiêu chuẩn) cho đến khi Tor đã được cài và xác minh.
  2. Cập nhật hệ thống và gói cơ bản. Chạy apt update && apt full-upgrade -y, sau đó cài tor, nyx, ufw, fail2ban, unattended-upgrades, và apt-listbugs. Bật tự động cập nhật bảo mật qua dpkg-reconfigure -plow unattended-upgrades và xác nhận bằng systemctl status unattended-upgrades.
  3. Cài kho lưu trữ Tor chính thức. Bản Tor mà Debian phân phối thường chậm trễ vài tuần. Thêm repo của Tor Project vào /etc/apt/sources.list.d/tor.list, nhập khoá ký, và cài lại tor cùng tor-geoipdb từ upstream. Xác nhận bằng tor --version — kỳ vọng phiên bản 0.4.8.x hoặc mới hơn trong suốt năm 2026.
  4. Cấu hình hidden service. Sửa /etc/tor/torrc: thêm HiddenServiceDir /var/lib/tor/monero-node/, kế đến HiddenServicePort 18089 127.0.0.1:18089 cho một Monero remote node công cộng, và cuối cùng HiddenServiceVersion 3. Với các dịch vụ không phải Monero, hãy ánh xạ cổng mà ứng dụng của bạn đang lắng nghe cục bộ tới cổng bạn muốn lộ ra trên onion.
  5. Khởi động Tor và đọc địa chỉ onion. Chạy systemctl restart tor@default, chờ nyx hiển thị bootstrap thành công đến 100%, sau đó cat /var/lib/tor/monero-node/hostname. Chuỗi 56 ký tự ed25519 kết thúc bằng .onion chính là danh tính dịch vụ của bạn. Hãy sao lưu nội dung thư mục đó — đặc biệt là hs_ed25519_secret_key — sang một phương tiện ngoại tuyến đã mã hoá, vì mất nó đồng nghĩa với mất địa chỉ vĩnh viễn.
  6. Buộc ứng dụng chỉ lắng nghe trên localhost. Sửa cấu hình dịch vụ của bạn để lắng nghe trên 127.0.0.1 thay vì 0.0.0.0. Với daemon Monero, đặt rpc-bind-ip=127.0.0.1 trong monerod.conf và truyền cờ --restricted-rpc để từ chối các thao tác ví trên điểm cuối công cộng. Khởi động lại ứng dụng và xác nhận bằng ss -tlnp rằng không có gì gắn vào interface công cộng.
  7. Xác minh từ bên ngoài. Từ một máy khác chạy Tor Browser, truy cập địa chỉ .onion. Ứng dụng phải phản hồi đúng như khi chạy trên clearnet, không rò rỉ IP nền tảng trong header hay trang lỗi. Dùng curl --socks5-hostname 127.0.0.1:9050 http://dichvucuaban.onion/ từ bất kỳ host nào có Tor cho các kiểm tra dạng script.
  8. Tuỳ chọn: tạo onion vanity. Các công cụ như mkp224o brute-force cặp khoá ed25519 cho một tiền tố mong muốn. Tiền tố 6 ký tự mất vài phút trên CPU hiện đại; 8 ký tự mất hàng giờ; 10 ký tự mất hàng ngày trên GPU. Tránh các tiền tố trùng với họ tên thật, biệt danh dự án, hay bất kỳ chuỗi nào có thể liên kết — như vậy sẽ phá huỷ toàn bộ mục đích của bài tập.
Một onion service chỉ ẩn danh đến mức của rò rỉ yếu nhất ở tầng ứng dụng. Một Monero node in tên máy trong thông báo lỗi, hoặc một webserver gửi kèm header Server với reverse DNS dựa trên IP thật, sẽ làm sụp đổ toàn bộ triển khai bất chấp cấu hình Tor đã được cẩn thận tới đâu.

Hardening, giám sát và kỷ luật vận hành

Daemon Tor chỉ là một thành phần. Phần còn lại của hệ thống phải khớp với mô hình mối đe doạ của nó, nếu không nó sẽ trở thành mắt xích yếu nhất. Hãy vô hiệu hoá swap hoàn toàn bằng swapoff -a và xoá entry swap khỏi /etc/fstab để chất liệu khoá bí mật ed25519 không bao giờ bị paging xuống đĩa. Bật kernel.kptr_restrict=2, kernel.dmesg_restrict=1, và phần còn lại của các sysctl làm cứng kernel được đóng gói trong linux-hardening hoặc lấy từ tham chiếu sysctl của Whonix. Các profile AppArmor cho Tor và ứng dụng của bạn thêm một lớp nữa với chi phí cấu hình vừa phải.

Cấu hình nftables hoặc ufw để drop toàn bộ traffic vào, trừ SSH — và lý tưởng nhất là chỉ từ các IP quản trị của bạn, nếu bạn có IP cố định. Nếu không, hãy dựa vào xác thực bằng khoá mạnh và giới hạn tốc độ bằng fail2ban. Phía outbound, chỉ cho phép những gì Tor cần: TCP 443 và 9001/9030 cho lưu lượng relay nếu máy cũng làm Tor relay, và bắt mọi truy vấn DNS đi qua cổng SOCKS của Tor cho bất kỳ ứng dụng nào cần phân giải tên. Đừng bao giờ để một ứng dụng nói chuyện trực tiếp với resolver DNS clearnet của nhà cung cấp VPS — đường đó âm thầm tiết lộ sự tồn tại của ứng dụng vào log của nhà cung cấp.

Giám sát cục bộ bằng nyx và đẩy số liệu Prometheus qua chính onion service nếu bạn cần biểu đồ từ xa. Tránh đẩy log hay metric lên bất kỳ SaaS bên thứ ba nào — đó là một vector gỡ ẩn danh kinh điển. Xoay log phải quyết liệt: logrotate hàng ngày với maxage 7, và journalctl --vacuum-time=7d trong một cron job hàng tuần. Càng ít dữ liệu lịch sử nằm trên đĩa, càng ít thứ cho một bên có ác ý tịch thu và càng ít thứ bạn phải giải thích về sau.

Sao lưu cần kỷ luật riêng. Tệp hs_ed25519_secret_key là phần trạng thái duy nhất bạn không thể tái tạo. Mã hoá nó bằng age hoặc GPG với một passphrase mạnh, lưu trên ít nhất hai phương tiện ngoại tuyến (USB cộng với base64 in trên giấy bỏ trong phong bì niêm phong), và giữ một bản ở vị trí địa lý tách biệt với địa điểm chính của bạn. Phần còn lại của hệ thống, hãy dựng lại từ configuration management (Ansible, NixOS, hoặc shell script trong một repo riêng tư) thay vì sao lưu toàn bộ disk image — hệ thống nên là ephemeral và chỉ khoá bí mật mới cần ổn định.

Câu hỏi thường gặp

Tôi có thể chạy Tor hidden service từ nhà thay vì VPS không?

Về mặt kỹ thuật, có — Tor không quan tâm máy chủ nằm ở đâu. Về thực tế, kết nối dân dụng đưa vào rủi ro uptime (mất điện, nhà mạng đàm phán lại, IP động đổi liên tục làm hỏng các guard relay sống lâu), và bất kỳ rò rỉ nào lộ IP công cộng đều làm sụp ẩn danh xuống thẳng danh tính thanh toán của bạn với ISP. Một VPS không-KYC cô lập dịch vụ khỏi dấu chân ngoài đời thực với chi phí khiêm tốn — 5 đến 15 EUR mỗi tháng — và đa số người vận hành có kinh nghiệm xem đánh đổi đó là hiển nhiên.

Thanh toán bằng Monero có thực sự che giấu tôi với nhà cung cấp VPS không?

Phía thanh toán thì có. RingCT, ring signature, stealth address, và relay giao dịch Dandelion++ của Monero phá vỡ liên kết giữa ví của bạn và địa chỉ nạp mà bạn trả. Nhà cung cấp VPS thấy một khoản thanh toán đến mà không có thông tin người gửi dạng plaintext. Cái mà vệ sinh thanh toán không thể sửa được là phần còn lại của quy trình đăng ký: một email dùng ở nơi khác, một username từ một diễn đàn công khai, hoặc một fingerprint SSH key chia sẻ với một tài khoản không ẩn danh. Hãy xem ẩn danh như một chuỗi mắt xích — Monero là một mắt, không phải toàn bộ.

Một địa chỉ v3 onion sống được bao lâu?

Vô thời hạn, miễn là bạn giữ tệp hs_ed25519_secret_key an toàn. Địa chỉ được suy ra một cách xác định từ khoá đó. Bạn có thể copy thư mục sang một VPS mới, khởi động lại Tor, và cùng địa chỉ .onion đó sẽ phân giải về máy chủ mới trong vài phút. Đây là nền tảng của khả năng phục hồi vận hành: khi một VPS trở nên không đáng tin hoặc không khả dụng, bạn di chuyển khoá, không phải địa chỉ, và client tự kết nối lại mà không cần thay đổi gì phía họ.

Tôi có cần chạy Monero node riêng, hay dùng node công cộng qua Tor là đủ?

Cả hai đều chính danh. Các onion node công cộng (liệt kê trên monero.fail) thì tiện và không đòi hỏi hạ tầng, nhưng chúng thấy được các broadcast và truy vấn giao dịch của bạn. Chạy node riêng đằng sau hidden service của chính bạn tốn xấp xỉ 200 GB ổ đĩa cộng tiền VPS, nhưng nó loại bỏ hoàn toàn yêu cầu tin tưởng. Với các luồng giá trị cao — bao gồm việc chuyển đổi tiền qua MoneroSwapper mà không để lại metadata có thể đối chiếu ở bất kỳ điểm cuối bên thứ ba nào — node tự host là tư thế mạnh hơn rõ rệt về mặt vật chất.

Chuyện gì xảy ra nếu khoá riêng hidden-service của tôi bị tịch thu?

Bất kỳ ai nắm tệp hs_ed25519_secret_key đều có thể phục vụ traffic trên địa chỉ .onion của bạn từ hạ tầng họ kiểm soát, và sự thay thế đó không thể phân biệt được từ phía client. Vì vậy sao lưu phải được mã hoá khi nằm yên với một passphrase chỉ bạn biết — chỉ mã hoá toàn ổ đĩa trên VPS là chưa đủ, vì hệ thống đang chạy giữ khoá trong bộ nhớ. Nếu việc tịch thu sắp xảy ra, hãy xoay sang một địa chỉ onion mới ngay lập tức và thông báo thay đổi qua một kênh ngoài-băng đã được ký từ trước mà client đã tin cậy.

Kết luận

Dựng một Tor hidden service trên VPS ẩn danh không phải là một lần mua sản phẩm; nó là một chuỗi quyết định về thẩm quyền pháp lý, vệ sinh thanh toán, làm cứng hệ thống, và quản lý khoá. Mỗi bước đóng lại một bề mặt nhận diện và để các bề mặt còn lại lộ ra. Lý do làm tất cả cùng nhau là để không một sự cố đơn lẻ nào — một đợt audit của nhà cung cấp, một banner cấu hình sai, một dòng log rò rỉ — làm sụp toàn bộ ngăn xếp. Với những người vận hành Monero và bất kỳ ai cần hạ tầng bền, không-KYC, công thức ở trên là đường cơ sở đang hoạt động. Khi dịch vụ bạn tới ở đầu kia là một thứ như onion endpoint của MoneroSwapper, cùng tiêu chuẩn đó áp dụng cả ở phía client: hãy sở hữu trọn vẹn đường đi từ đầu đến cuối, hoặc chấp nhận rằng thực ra bạn không có quyền riêng tư.

← back to blog