1. Habilita Actualizaciones Automáticas de Software

Una de las cosas más importantes para mantener la seguridad de tu relay es instalar las actualizaciones de seguridad en su momento y, mejor, de forma automática para no olvidarlas. Sigue las instrucciones para habilitar actualizaciones automáticas de software para tu sistema operativo.

2. Instalar tor

Para instalar el paquete tor en Arch Linux, ejecuta:

# pacman -Syu tor

3.Instalar un transporte conectable

Aquí optamos por instalar y usar obfs4 como transporte conectable, así que vamos a instalar obfs4proxy.

Lamentablemente, no hay ningún paquete disponible en los repositorios oficiales de Arch Linux para instalarlo, por lo que debemos compilarlo desde el código fuente o usar AUR (ArchLinux User Repository).

Deberías optar por usar AUR, makepkg no debe ejecutarse como root una vez , aquí es como se instala obfs4proxy en Arch Linux usando una cuenta de usuario sin privilegios con permisos sudo:

$ sudo pacman -Syu git
$ git clone https://aur.archlinux.org/obfs4proxy
$ cd obfs4proxy
$ makepkg -irs

  • DISCLAIMER: Los paquetes AUR son contenidos producidos por los usuarios. Cualquier uso de los archivos mencionados es bajo tu propia responsabilidad.

    Para más información sobre cómo instalar o compilar obfs4proxy desde el código fuente, consulta su documentación oficial.

4. Edita tu archivo de configuración Tor, usualmente ubicado en /etc/tor/torrc, y reemplaza su contenido con:

BridgeRelay 1
DataDirectory /var/lib/tor
User tor

# Reemplaza "TODO1" con un puerto Tor de tu elección. Este puerto debe ser externamente
# alcanzable. Evita el puerto 9001, porque comúnmente está asociado con Tor, y
# los censores podrían estar escaneando Internet buscando este puerto.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Reemplaza "TODO2" con un puerto obfs4 de tu elección. Este puerto debe ser
# alcanzable desde el exterior, y diferente del especificado para ORPort.
# Evita el puerto 9001, porque comúnmente está asociado con
# Tor, y los censores podrían estar escaneando Internet por el mismo.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Puerto de comunicación local entre Tor y obfs4. Siempre ajústalo a "auto".
# "Ext" significa "extendido", no "externo".  No intentes establecer un puerto específico
# número de puerto específico, ni escuches en 0.0.0.0.
ExtORPort auto

# Reemplaza "<address@email.com>" con tu dirección de correo electrónico, de manera que podamos contactarte si
# hay problemas con tu puente. Esto es opcional, pero te alentamos a que lo hagas.
ContactInfo <address@email.com>

# Elige un sobrenombre que te guste para tu puente. Esto es opcional.
Nickname PickANickname

No olvides cambiar las opciones ORPort, ServerTransportListenAddr, ContactInfo, y Nickname.

  • Si decides usar un puerto obfs4 fijo menor que 1024 (por ejemplo 80 o 443), necesitarás darle a obfs4 la capacidad CAP_NET_BIND_SERVICE, para enlazar el puerto con un usuario no privilegiado:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

Para evitar systemd hardening, también tendrá que establecer NoNewPrivileges=no en /usr/lib/systemd/system/tor.service y a continuación ejecutar systemctl daemon-reload. Para más detalles en ticket 18356.

  • Ten en cuenta que ambos, el puerto OR de Tor y su puerto obfs4, deben ser alcanzables. Si tu puente está detrás de un cortafuegos o NAT, asegúrate de abrir ambos puertos. Puedes usar nuestra prueba para ver si tu puerto obfs4 es alcanzable desde el Internet.

5. Activar e iniciar tor

# systemctl enable --now tor

... or restart it if it was running already, so configurations take effect

# systemctl restart tor

6. Notas Finales

Si estás teniendo problemas para configurar tu puente, dale un vistazo a nuestra sección de ayuda. Si tu puente ahora se está ejecutando, comprueba las notas postinstalación.