1. Pastikan port relay dapat dijangkau
Jika Anda menggunakan firewall, buka akses pada firewall Anda agar koneksi masuk dapat mencapai port yang akan Anda gunakan untuk relay (ORPort).
Selain itu, pastikan Anda juga mengizinkan semua koneksi keluar, agar relay Anda dapat menjangkau relay Tor lain, klien, dan tujuan.
Anda dapat menemukan nomor port TCP ORPort spesifik pada halaman Setup (di bagian yang spesifik untuk OS).
2. Verifikasi bahwa relay Anda berfungsi
Jika syslog Anda memuat entri berikut setelah memulai daemon tor Anda, relay Anda seharusnya sudah aktif dan berjalan sesuai harapan:
Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.
Sekitar 3 jam setelah Anda memulai relay Anda, relay tersebut seharusnya muncul di Relay Search pada portal Metrics.
Anda dapat mencari relay Anda menggunakan nickname atau alamat IP.
3. Baca tentang siklus hidup relay Tor
Butuh waktu agar lalu lintas relay meningkat, ini terutama berlaku untuk relay guard tetapi pada tingkat yang lebih kecil juga berlaku untuk exit relay. Untuk memahami proses ini, baca tentang siklus hidup relay baru.
4. Manajemen Konfigurasi
Jika Anda berencana menjalankan lebih dari satu relay, atau Anda ingin menjalankan relay berkapasitas tinggi (beberapa instance Tor per server) atau ingin menggunakan fitur keamanan yang kuat seperti Offline Master Keys tanpa melakukan langkah tambahan secara manual, Anda mungkin ingin menggunakan manajemen konfigurasi untuk pemeliharaan yang lebih baik.
Ada beberapa solusi manajemen konfigurasi untuk sistem operasi berbasis Unix (Ansible, Puppet, Salt, ...).
Ansible Role berikut dibuat khusus untuk operator relay Tor dan mendukung berbagai sistem operasi: Ansible Relayor.
5. Penting: jika Anda menjalankan lebih dari satu instance Tor
Untuk menghindari membahayakan klien Tor, saat mengoperasikan beberapa relay Anda harus menyetel nilai MyFamily yang tepat dan memiliki ContactInfo yang valid dalam konfigurasi torrc Anda.
Pengaturan MyFamily pada dasarnya memberi tahu klien Tor relay Tor mana yang dikendalikan oleh satu entitas/operator/organisasi, sehingga relay tersebut tidak digunakan pada beberapa posisi dalam satu sirkuit.
Jika Anda menjalankan dua relay dan mereka memiliki fingerprint AAAAAAAAAA dan BBBBBBBB, Anda akan menambahkan konfigurasi berikut untuk menyetel MyFamily:
MyFamily AAAAAAAAAA,BBBBBBBB
untuk kedua relay. Untuk menemukan fingerprint relay Anda, Anda dapat melihat file log saat tor mulai berjalan atau menemukan file bernama "fingerprint" di DataDirectory tor Anda.
Alih-alih melakukannya secara manual, untuk operator besar kami merekomendasikan mengotomatisasi pengaturan MyFamily melalui solusi manajemen konfigurasi.
Mengelola MyFamily secara manual untuk kelompok relay besar rentan kesalahan dan dapat membahayakan klien Tor.
6. Tambahkan aturan firewall untuk melindungi dari serangan DDoS
Mengonfigurasi firewall Anda untuk menghentikan terlalu banyak koneksi bersamaan telah terbukti sangat membantu dalam menghadapi serangan DDoS terhadap relay.
Pertimbangkan untuk menerapkan salah satu mekanisme berikut:
Catatan: Ini adalah sumber daya yang disediakan komunitas.
Anda sebaiknya memeriksanya dengan saksama sebelum menerapkannya ke sistem Anda.
Selain itu, perlu diketahui bahwa aturan-aturan ini telah terbukti berfungsi untuk serangan tertentu yang pernah terjadi di masa lalu.
Serangan terus berkembang dan sering kali memerlukan aturan baru, jadi harap tetap terhubung untuk memperbaruinya sesuai kebutuhan, baik dengan berlangganan proyek terkait atau dengan berlangganan mailing list tor-relays.
7. Opsional: Membatasi penggunaan bandwidth (dan lalu lintas)
Tor tidak akan membatasi penggunaan bandwidth-nya secara default, tetapi mendukung beberapa cara untuk membatasi bandwidth yang digunakan dan jumlah lalu lintas.
Ini bisa berguna jika Anda ingin memastikan relay Tor Anda tidak melebihi jumlah bandwidth tertentu atau total lalu lintas per hari/minggu/bulan.
Opsi konfigurasi torrc berikut dapat digunakan untuk membatasi bandwidth dan lalu lintas:
- AccountingMax
- AccountingRule
- AccountingStart
- BandwidthRate
- BandwidthBurst
- RelayBandwidthRate
Memiliki relay yang cepat untuk sebagian waktu dalam sebulan lebih disukai daripada relay yang lambat untuk sepanjang bulan.
Lihat juga entri bandwidth di FAQ.
8. Periksa ketersediaan IPv6
Kami mendorong semua orang untuk mengaktifkan IPv6 pada relay mereka. Ini sangat bernilai khususnya pada exit dan guard relay.
Sebelum mengaktifkan daemon tor Anda untuk menggunakan IPv6 selain IPv4, Anda sebaiknya melakukan beberapa tes konektivitas IPv6 dasar.
Perintah berikut akan melakukan ping ke alamat IPv6 dari otoritas direktori Tor dari server Anda:
ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.
Di akhir output Anda seharusnya melihat "OK.". Jika tidak demikian, jangan aktifkan IPv6 di file konfigurasi torrc Anda sebelum IPv6 benar-benar berfungsi.
Jika Anda mengaktifkan IPv6 tanpa konektivitas IPv6 yang berfungsi, seluruh relay Anda akan tetap tidak digunakan, terlepas dari apakah IPv4 berfungsi.
Jika semuanya berfungsi dengan baik, buat relay Tor Anda dapat dijangkau melalui IPv6 dengan menambahkan baris ORPort tambahan ke konfigurasi Anda (contoh untuk ORPort 9001):
ORPort [IPv6-address]:9001
Lokasi baris tersebut di file konfigurasi tidak penting.
Anda cukup menambahkannya di sebelah baris ORPort pertama di file torrc Anda.
Catatan: Anda harus secara eksplisit menentukan alamat IPv6 Anda dalam tanda kurung siku, Anda tidak dapat meminta tor untuk bind ke sembarang IPv6 (seperti yang Anda lakukan untuk IPv4).
Jika Anda memiliki alamat IPv6 global, Anda seharusnya dapat menemukannya di output perintah berikut:
ip -6 addr | grep global | sed 's/inet6//;s#/.*##'
Jika Anda adalah exit relay dengan konektivitas IPv6, beri tahu daemon tor Anda untuk mengizinkan exit melalui IPv6 agar klien dapat menjangkau tujuan IPv6:
IPv6Exit 1
Catatan: Tor memerlukan konektivitas IPv4, Anda tidak dapat menjalankan relay Tor pada IPv6-only.
9. Memelihara relay
Backup Kunci Identitas Tor
Setelah instalasi awal dan menjalankan daemon tor, sebaiknya buat backup kunci identitas jangka panjang relay Anda.
Kunci-kunci tersebut berada di subfolder "keys" dari DataDirectory Anda (cukup buat salinan seluruh folder dan simpan di lokasi yang aman).
Karena relay memiliki waktu ramp-up, masuk akal untuk membackup identity key agar dapat memulihkan reputasi relay Anda setelah kegagalan disk—kalau tidak, Anda harus melalui fase ramp-up lagi.
Lakukan ini hanya jika Anda memiliki tempat yang sangat aman untuk menyimpan kunci Anda karena jika dicuri, kunci-kunci ini secara teoretis dapat memungkinkan dekripsi lalu lintas atau peniruan.
Lokasi default folder keys:
- Debian/Ubuntu:
/var/lib/tor/keys
- FreeBSD:
/var/db/tor/keys
- OpenBSD:
/var/tor/keys
- Fedora:
/var/lib/tor/keys
Berlangganan mailing list tor-announce
Ini adalah mailing list dengan lalu lintas sangat rendah dan Anda akan mendapatkan informasi tentang rilis tor stable baru serta informasi pembaruan keamanan penting: tor-announce.
Menyiapkan notifikasi gangguan
Setelah Anda menyiapkan relay Anda, kemungkinan besar relay tersebut akan berjalan tanpa banyak pekerjaan dari pihak Anda.
Jika sesuatu berjalan salah, sebaiknya Anda mendapatkan notifikasi secara otomatis.
Kami merekomendasikan menggunakan Tor Weather, layanan notifikasi yang dikembangkan oleh Tor Project.
Ini membantu operator relay mendapatkan notifikasi ketika relay atau bridge mereka offline, serta untuk insiden lainnya.
Opsi lain adalah menggunakan salah satu layanan gratis yang memungkinkan Anda memeriksa keterjangkauan ORPort relay Anda dan mengirimkan email jika ORPort tersebut menjadi tidak dapat dijangkau.
UptimeRobot adalah salah satu layanan tersebut yang memungkinkan Anda memantau TCP listener pada port apa pun.
Ini hanya memeriksa listener tetapi tidak melakukan komunikasi dengan protokol Tor.
Cara yang baik untuk memantau kondisi kesehatan relay adalah dengan melihat grafik bandwidth-nya.
Pemantauan Kesehatan Sistem
Untuk memastikan relay Anda sehat dan tidak kewalahan, masuk akal untuk memiliki pemantauan sistem dasar untuk mengawasi metrik berikut:
- Bandwidth
- Koneksi TCP yang Terbentuk
- Memori
- Swap
- CPU
Ada banyak alat untuk memantau jenis data ini, munin adalah salah satunya dan relatif mudah untuk disiapkan.
Catatan: Jangan buat grafik data pemantauan privat Anda menjadi publik karena hal ini dapat membantu penyerang menganonimkan (deanonymize) pengguna Tor.
Beberapa saran praktis:
- Jika Anda ingin mempublikasikan statistik lalu lintas, Anda sebaiknya mengagregasikan lalu lintas relay Anda setidaknya selama satu hari atau menggunakan window agregasi yang lebih besar untuk bandwidth jika memungkinkan dan menggabungkan grafik/statistik untuk beberapa relay bila memungkinkan.
- Melaporkan relay individual lebih buruk daripada melaporkan total untuk kelompok relay. Di masa mendatang, tor akan mengagregasikan statistik bandwidth secara aman, sehingga pelaporan bandwidth relay individual akan kurang aman daripada statistik tor.
- Periode yang lebih kecil lebih buruk.
- Angka lebih buruk daripada grafik.
- Data real-time lebih buruk daripada data historis.
- Data dalam kategori (versi IP, masuk/keluar, dll.) lebih buruk daripada total data.
Alat
Bagian ini mencantumkan beberapa alat yang mungkin Anda anggap berguna sebagai operator relay Tor.
Nyx: adalah alat Tor Project (sebelumnya arm) yang memungkinkan Anda melihat data relay Anda secara real time.
vnstat: vnstat adalah alat baris perintah yang menampilkan jumlah data yang melewati koneksi jaringan Anda.
Anda juga dapat menggunakannya untuk menghasilkan gambar PNG yang menampilkan grafik lalu lintas. Dokumentasi vnstat dan demo output.