۱. به‌روز‌رسانی‌های خودکار نرم‌افزار را به‌کار اندازید

یکی از مهم‌ترین چیزهایی که برای حفظ امنیت رله‌تان وجود دارد، نصب به‌روزرسانی‌های امنیتی به‌موقع و ترجیحاً خودکار است تا آن را فراموش نکنید. دستورالعمل‌ها را دنبال کنید تا به‌روز‌رسانی خودکار نرم‌افزار را برای سیستم‌عامل خود به‌کار اندازید.

۲. tor را نصب کنید

برای نصب بستهٔ tor در Arch Linux، لطفاً دستور زیر را اجرا کنید:

# pacman -Syu tor

۳. یک حامل اتصال‌پذیر نصب کنید

ما در اینجا برای نصب و استفاده از obfs4 به‌عنوان حامل اتصال‌پذیر درحال انتخاب هستیم، بنابراین می‌خواهیم obfs4proxy را نصب کنیم.

Sadly there's no package available on Arch Linux's official repositories to install it, so we must either build it from source, or use the AUR (ArchLinux User Repository).

زمانی که استفاده از AUR را انتخاب کردید، نباید makepkg با دسترسی ریشه اجرا شود، در اینجا نحوهٔ نصب obfs4proxy در Arch Linux با استفاده از یک حساب‌کاربری بدون حق ویژه با مجوزهای sudo آورده شده است:

$ sudo pacman -Syu git
$ git clone https://aur.archlinux.org/obfs4proxy
$ cd obfs4proxy
$ makepkg -irs

  • سلب مسئولیت: بسته‌های AUR محتوای تولید‌شده توسط کاربر است. هرگونه استفاده از فایل‌های ارائه‌شده به عهده خودتان است.

    برای اطلاعات بیشتر در مورد نصب یا ساخت obfs4proxy از منبع، لطفاً به مستندات رسمی آن رجوع کنید.

۴. فایل پیکربندی Tor خود را که معمولاً در ‎/etc/tor/torrc قرار دارد را ویرایش کرده و محتوای آن را با (محتوای) زیر جایگزین کنید:

BridgeRelay 1
DataDirectory /var/lib/tor
User tor

# «TODO1» را با درگاهٔ Tor منتخب خود جایگزین کنید. این باید از بیرون
# دسترس‌پذیر باشد. از استفاده از درگاه ۹۰۰۱ اجتناب کنید چون عموماً با Tor مرتبط است و
# سانسورکنندگان، اینترنت را برای این درگاه پویش (scan) می‌کنند.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# «TODO2» را با درگاه obfs4 منتخب خود جایگزین کنید. این درگاه باید
# از بیرون دسترس‌پذیر باشد و باید از درگاه مشخص‌شده برای ORPort متفاوت باشد.
# از درگاه ۹۰۰۱ اجتناب کنید چون عموماً مرتبط با
# Tor است و سانسور‌کنندگان ممکن است اینترنت را برای این درگاه پویش (scan) کنند.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# درگاه ارتباط محلی بین Tor و obfs4. همیشه این را روی «auto» تنظیم کنید.
# «Ext» به معنای «تعمیم یافته» است، نه «بیرونی». سعی نکنید تا شمارهٔ درگاه خاصی
# را مشخص یا اینکه روی 0.0.0.0 شنود کنید.
ExtORPort auto

# نشانی ایمیل خود را با «<address@email.com>» تغییر دهید تا بتوانیم در صورت وجود مشکل‌هایی در پل شما
# با شما ارتباط برقرار کنیم. این مورد اختیاری است ولی تشویق می‌شود.
اطلاعات مخاطب <address@email.com>

# یک نام مستعار مورد پسند برای پل خود انتخاب کنید. این کار اختیاری است.
Nickname PickANickname

فراموش نکنید تا گزینه‌های ORPort, ‏ServerTransportListenAddr,‏ ContactInfo, و Nickname را تغییر دهید.

  • اگر تصمیم دارید تا از یک درگاه obfs4 ثابت کوچکتر از ۱۰۲۴ استفاده کنید (برای نمونه ۸۰ یا ۴۴۳)، نیاز خواهید داشت تا به obfs4 قابلیت‌های CAP_NET_BIND_SERVICE را بدهید تا بتوانید درگاه را به یک غیر ابرکاربر را مقید کنید:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

برای کار روی تقویت (امنیت) systemd، همچنین باید NoNewPrivileges=no را در ‎/usr/lib/systemd/system/tor.service تنظیم کرده و سپس systemctl daemon-reload را اجرا کنید. برای دیدن جزئیات بیشتر به درخواست ۱۸۳۵۶ مراجعه کنید.

  • توجه کنید که هم درگاه OR Tor و هم درگاه obfs4 باید قابل دسترس باشند. اگر پل شما پشت دیوار آتش یا NAT (برگردان نشانی شبکه) است، مطمئن شوید که هر دو درگاه را باز کرده‌اید. می‌توانید از آزمون دسترس‌پذیری ما استفاده کنید تا ببینید آیا درگاه obfs4 شما از طریق اینترنت دسترس‌پذیر است یا خیر.

۵. tor را به‌کار انداخته و راه‌اندازی کنید

# systemctl enable --now tor

... or restart it if it was running already, so configurations take effect

# systemctl restart tor

۶. نکات پایانی

اگر در راه‌اندازی پل خود مشکل دارید، به بخش راهنمای ما‏ نگاهی بیندازید. اگر پل شما درحال اجرا است، نکات پس از نصب‏ را وارسی کنید.