1. Activer les mises à jour automatiques du logiciel

L'une des choses les plus importantes pour assurer la sécurité de votre relais est d'installer les mises à jour de sécurité en temps voulu et, idéalement, de manière automatique afin de ne pas les oublier. Suivez les instructions pour activer les mises à jour automatiques de votre système d'exploitation.

2. Installer tor

Pour installer le package tor sur Arch Linux, utilisez cette commade :

# pacman -Syu tor

3. Installer un transport amovible

Nous décidons d'installer et d'utiliser obfs4 comme notre transport connectable, donc nous allons installer obfs4proxy.

Malheureusement, il n'y a pas de paquet disponible dans les dépôts officiels d'Arch Linux pour l'installer, nous devons donc soit le compiler à partir des sources, soit utiliser l'AUR (ArchLinux User Repository).

Si vous avez choisi d'utiliser AUR, une fois que makepkg ne peut être exécuté en tant que root, voici comment obfs4proxy peut être installé sur Arch Linux en utilisant un compte d'utilisateur non privilégié avec les permissions sudo :

$ sudo pacman -Syu git
$ git clone https://aur.archlinux.org/obfs4proxy
$ cd obfs4proxy
$ makepkg -irs

  • DISCLAIMER Les paquets AUR sont des contenus produits par les utilisateurs. Toute utilisation des fichiers fournis se fait à vos risques et périls.

    Pour plus d'informations sur l'installation ou la construction de obfs4proxy à partir des sources, veuillez vous référer à sa documentation officielle.

4. Editez votre fichier de configuration Tor, généralement situé dans /etc/tor/torrc et remplacez son contenu par :

BridgeRelay 1
DataDirectory /var/lib/tor
User tor

# Remplacez "TODO1" par un port Tor de votre choix.  Ce port doit être externe
# reachable.  Evitez le port 9001 parce qu'il est généralement associé à Tor et à
# Les censeurs peuvent rechercher ce port sur l'internet.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Remplacez "TODO2" par un port obfs4 de votre choix.  Ce port doit être
# accessible de l'extérieur et doit être différent de celui spécifié pour ORPort.
# Évitez le port 9001 car il est généralement associé à
# Tor et les censeurs peuvent rechercher ce port sur Internet.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Port de communication local entre Tor et obfs4.  Mettez toujours cette valeur à "auto".
# "Ext" signifie "étendu" et non "externe".  N'essayez pas de définir un port spécifique
# numéro, ne pas écouter sur 0.0.0.0.
ExtORPort auto

# Remplacez "<address@email.com>" par votre mail afin que nous puissions vous contacter si
# il y a des problèmes avec votre pont.  Ceci est facultatif mais encouragé.
ContactInfo <address@email.com>

# Choisissez un surnom que vous aimez pour votre pont.  Ceci est optionnel.
Nickname PickANickname

N'oubliez pas de modifier les options ORPort, ServerTransportListenAddr, ContactInfo, et Nickname.

  • Si vous décidez d'utiliser un port obfs4 fixe plus petit que 1024 (par exemple 80 ou 443), vous devrez donner à obfs4 les capacités CAP_NET_BIND_SERVICE pour lier le port avec un utilisateur non-root :

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

Pour éviter le blocage du systemed, vous aurez aussi besoin d'appliquer NoNewPrivileges=no dans /usr/lib/systemd/system/tor.service puis de lancer la commande systemctl daemon-reload. Pour plus de détails, voir ticket 18356.

  • Notez que le port OR de Tor et son port obfs4 doivent être accessibles. Si votre pont est derrière un pare-feu ou un NAT, assurez-vous d'ouvrir les deux ports. Vous pouvez utiliser notre test de joignabilité pour voir si votre port obfs4 est joignable depuis l'Internet.

5. Activer et démarrer tor

# systemctl enable --now tor

... or restart it if it was running already, so configurations take effect

# systemctl restart tor

6. Notes finales

Si vous avez des difficultés à configurer votre pont, consultez notre section d'aide. Si votre pont fonctionne maintenant, consultez les notes post-installation.