Vai al contenuto
Home » 🧭 Howto – Guide Tecniche per Tor, Privacy e Sicurezza » 🛡️ Accesso SSH via Tor – Hidden Service su Debian » 🛡️ Parte 1 – Accesso SSH via Hidden Service Tor (Setup Base)

🛡️ Parte 1 – Accesso SSH via Hidden Service Tor (Setup Base)

🔐 Connessione remota sicura e invisibile attraverso la rete Tor

🎯 Obiettivo

Costruire un bastion host stealth, una macchina amministrabile esclusivamente via rete Tor, pensata per:

  • Restare invisibile a scansioni, ping e fingerprinting
  • Non esporre alcuna porta TCP pubblica
  • Accettare connessioni SSH solo tramite indirizzo .onion

Questo primo step è la base per un’infrastruttura ad alta riservatezza: utile per amministratori di sistema, penetration tester o chiunque voglia una macchina di controllo completamente isolata dal mondo esterno, raggiungibile solo da chi conosce l’indirizzo .onion.

Al termine della Parte 1, avrai verificato una connessione SSH funzionante attraverso Tor sulla porta 22, utile come fondamento per proseguire con misure di hardening nella Parte 2.

✅ Requisiti

  • Due macchine virtuali Debian-like (Debian 12, Ubuntu Server, ecc.) — una come server, una come client
  • Accesso root o sudo su entrambe
  • Rete funzionante (LAN, NAT o bridge)
  • Nessun firewall che blocchi il traffico Tor in uscita dal client

🚧 Installazione di Tor (sulla VM Server)

1️⃣ Aggiunta del repository ufficiale Tor

sudo apt install -y apt-transport-https gnupg wget

wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor | sudo tee /usr/share/keyrings/deb.torproject.org-keyring.gpg > /dev/null

echo "deb [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org bookworm main" \
  | sudo tee /etc/apt/sources.list.d/tor.list

echo "deb-src [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org bookworm main" \
  | sudo tee -a /etc/apt/sources.list.d/tor.list

sudo apt update

2️⃣ Installazione di Tor e verifica dello stato

sudo apt install -y tor deb.torproject.org-keyring
sudo systemctl status [email protected]

⚙️ Configurazione Hidden Service SSH (porta 22)

Modifica /etc/tor/torrc:

sudo nano /etc/tor/torrc

Aggiungi:

HiddenServiceDir /var/lib/tor/ssh_hidden_service/
HiddenServicePort 22 127.0.0.1:22

⚠️ Non creare manualmente HiddenServiceDir: Tor la genererà con i permessi corretti (utente debian-tor).

🔄 Riavvia Tor e recupera il dominio .onion

sudo systemctl restart [email protected]
sudo cat /var/lib/tor/ssh_hidden_service/hostname

📌 In questa guida useremo come esempio il dominio:

fjiswfc5qssgycfnt4g4zrwt4k7rdi7ze4v5gxvdfwvk75dselqvezad.onion

🔐 Backup consigliato: salva il file hostname in un luogo sicuro. È l’unico riferimento per accedere alla macchina via Tor.

🧵 Connessione del client tramite Tor

1️⃣ Installa Tor e torsocks sulla VM client

sudo apt install tor torsocks -y

2️⃣ Accesso remoto via Tor

torify ssh root@fjiswfc5qssgycfnt4g4zrwt4k7rdi7ze4v5gxvdfwvk75dselqvezad.onion

Fine Parte 1: Hai testato con successo l’accesso remoto SSH tramite rete Tor sulla porta 22. Questa configurazione costituisce la base minima operativa. Nella Parte 2 implementeremo misure di hardening: autenticazione a chiave pubblica, porte personalizzate, utenti dedicati e firewall avanzato.