/tek/ - Teknoloji

>Aşama 1: Nginx kurulum ve yapılandırması.

sudo apt install nginx
sudo systemctl start nginx
sudo systemctl enable nginx

>Sitemizin nginx yapılandırmasını düzenleyelim.

sudo nano /etc/nginx/sites-available/hidden_service

>Aşağıdaki yapılandırmayı kendinize göre düzenleyin. İhtiyaçlarınız doğrultusunda yeni satırlar da ekleyebilirsiniz.

listen 127.0.0.1:80; # Burası en çok hata yapılan kısımlardan insanlar genelde 80 e tamamen açıyor
server {
server_name onionadresiniz.onion; # Buraya .onion adresinizi ekleyin

location / {
root /var/www/html; # Sitenizin dosyalarının olduğu klasörü yazın
index index.html;
}

# İsteğe bağlı: Hata sayfaları
error_page 404 /404.html;
error_page 502 /502.html;

location = /404.html {
internal;
}

location = /502.html {
internal;
}
}

>CTRX+X ardından y ye basın; dosyayı kaydederek çıkmış olacaksınız.

>Konfigurasyon dosyamızı etkinleştirelim.

sudo ln -s /etc/nginx/sites-available/hidden_service /etc/nginx/sites-enabled/

>Test edelim.

sudo nginx -t
sudo systemctl restart nginx

>Artık .onion siteniz çalışıyor olmalı. Tor Browser'e .onion linkinizi url kısmına atın ve sitenize erişebiliyor olacaksınız.

>Aşama 2: Güvenlik duvarını IP sızıntısı olmayacak şekilde ayarlama

>Güvenlik duvarında sunucuyua erişim için elzem portları (örneğin SSH) UFW kullanarak açın.

sudo ufw allow 22/tcp (22 varsayılan SSH portudur farkı bir porta değiştirdiyseniz ki değiştirmeniz önerilir; o portu yazın)
… # Diğer elzem portları yazın
…
…
sudo ufw enable

>Sitemiz Tor ağında 80 portunda çalışıyor; 80 portuna ve yukarıdakiler hariç diğer tüm portlara erişimi 'iptables' kullanarak düzenleyeceğiz.

sudo iptables -I INPUT -i lo -j ACCEPT
sudo iptables -I OUTPUT -o lo -j ACCEPT
sudo iptables -I OUTPUT 2 -p tcp –dport 9050 -j ACCEPT
sudo iptables -A OUTPUT -p tcp –dport 80 -j DROP
sudo iptables -A OUTPUT -p tcp –dport 443 -j DROP
sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -j DROP

>iptables kuralları sunucuyu yeniden başlattığımızda sıfırlanır; bu yüzden kuralları kaydetmek için iptables-persistent isimli paketi kurabiliriz.

sudo apt install iptables-persistent

>Kurulum esnasında size mevcut kuralları kaydedip istemek istediğinizi soracaktır. y harfine basarak sorduğu zaman kaydedebilirsiniz.

>Sunucuyu yeniden başlattığınızda buradaki kurallar sıfırlanacaktır. Sunucunuza SSH üzerinden bağlanıp kuralları kaydedilmiş kopyadan geri yükleyebilirsiniz. Bunun için şu komutu yazabilirsiniz. (IPv4 adresi kullandığınızı varsayıyorum)

sudo iptables-restore < /etc/iptables/rules.v4

Anonimler; aklıma gelenler bunlar. Bu rehberi uyguladığınızda Tor siteniz ve servisiniz hiçbir şekilde IP sızıntısı yapmayacaktır. Eksik veya hatalı olduğunu düşündüğünüz kısımları belirtebilirsiniz; duruma göre ekleme çıkarma yapabiliriz. Bunun herkes için işe yarar bir rehber olmasını umuyorum.

Hepinize iyi günler dilerim.

>>35
Anonimler 80 ve 443 e DROP yerine REJECT yazmışım, demin sunucuya bağlanıp bazı değişiklikler yaparken siteye bunu yanlış yazdığım aklıma geldi; REJECT yerine doğrusu DROP olarak güncellenmiştir.

>>35
TOR sitesi barındıran sunucu sadece 80 portunu TOR siteleri için dinleyecek diye bir kural yok ki nginx yapılandırılması ile clean ağda da site açabilirsiniz. IP sızıntısı falan olan cloudflare arkasında olduktan sonra.

>>38
>TOR sitesi barındıran sunucu sadece 80 portunu TOR siteleri için dinleyecek diye bir kural yok
Ben yazıda öyle birşey demedim ki?
Ayrıca Tor 80 in (illa 80 olarak da ayarlamana gerek yok) tamamını dinlemez sadece localhosttan dinler.

>>38
>cloudflare arkasında olduktan sonra.
İnterneti takip ediyor musun bilmiyorum; darkwebin en büyük marketi Archetyp, Cloudflare'ye bağlı .cc ile biten LDN domaininin bağlı olduğu sunucu IP sızdırdı (hata Cloudflare tarafında), sunucu değiştirdiler sonra yeni sunucuya da el koyuldu sonrasında (muhtemelen OpSec hataları yüzünden) marketin çalıştığı sunucuları da bir ayda hepsine el koyuldu sahibini de yakaladılar. Cloudflare, BlazingFast, DiamWall vb. çok da güvenmemek lazım. Sonuçta hepsi şirket ve imzalı veri talebi kağıdı önlerine gittiğinde o kağıda yanıt vermeyeceklerinin garantisi yok.

İkincisi eğer Cloudflare kullanıyorsan teoride CF Workers üzerinden sitende tarama yapabiliyor; detayını bilmiyorum ama Cloudflare kullanıcıları için tehlikeli birşey. Risk düzeyi yüksek bir sitede şahsen Cloudflare kullanmam veya alternatif önlemler de alırım.

>>36
i2pyi nasıl ekledin i2p localhosttan bağlanmıyorki güvenlik duvarı arkasına koyunca çalışmaz

>>41
>i2p localhosttan bağlanmıyorki
Kısmen doğru.
>güvenlik duvarı arkasına koyunca çalışmaz
Önceden ben de senin gibi düşünüyordum; ama çalışıyor, hangi portu koyduğuna bağlı. Tor, I2P gibi servislerin düzgün çalışması için sunucuya loopback izni vermen lazım onu da

sudo iptables -I INPUT -i lo -j ACCEPT
sudo iptables -I OUTPUT -o lo -j ACCEPT

Şu iki komutla yapıyoruz. Localhost, 127.0.0.1 dediğimiz adrestir; I2P 127.0.0.1-127.255.255.255 arasındaki tüm IP leri kullanır, Tor sadece 127.0.0.1 i kullanır. Sen yukarıdaki komutları yazdıktan sonra bir portu güvenlik duvarında dışarıdan gelen isteklere engellediğinde o portu sadece localhosta açmış olmuyorsun, sadece loopback yapabilmesine izin vermiş oluyorsun. Loopback içerisinde localhost da dahil. Güvenli I2P servisi sunucuya nasıl eklenir onu da yazarım, detaylı anlatırım orada.

>güvenlik duvarı arkasına koyunca çalışmaz
Çalışmama durumundan da kısaca bahsedeyim, I2P'nin diğer I2P yönlendiricileriyle bağlantı kurduğu portları tek bir porta yönlendirirsen ve o portu da güvenlik duvarında açmazsan bu sefer dediğin gibi I2P servisi çalışmaz. Bu dediğim şey standart I2P yönlendiricisi kurulumunda olmaz, senin NAT veya güvenlik duvarı arkasında kaldığın durumlarda I2P'nin çalışabilmesi için manuel ayarlaman gerekir.

>>42
i2p site açılışı ve güvenlik yapılandırması ile ilgili derin ve detaylı bilgilerinizi de bekliyoruz admin