1. Asigurați-vă că porturile releului pot fi accesate

If you are using a firewall, open a hole in your firewall so incoming connections can reach the ports you will use for your relay (ORPort).

De asemenea, asigurați-vă că permiteți și toate conexiunile de ieșire, astfel încât releul dvs. poate ajunge la celelalte relee Tor, la clienți și la destinații.

You can find the specific ORPort TCP port number in the Setup page (in the OS specific sections).

2. Verificați dacă releul dvs. funcționează

Dacă fișierul dvs. de înregistrare (syslog) conține următoarea intrare după pornirea demonului tor, releul dvs. ar trebui să funcționeze așa cum este de așteptat:

Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.

La aproximativ 3 ore după ce porniți releul, ar trebui să apară pe Căutare releu pe portalul Metrics. Puteți căuta releul dvs. folosind porecla sau adresa IP.

3. Citiți despre ciclul de viață al releului Tor

Este nevoie de ceva timp pentru ca traficul de relee să crească, acest lucru este valabil mai ales pentru releele de gardă, dar într-o măsură mai mică și pentru releele de ieșire. Pentru a înțelege acest proces, citiți despre ciclul de viață al unui nou releu.

4. Administrarea configurației

Dacă intenționați să rulați mai mult de un singur releu sau doriți să rulați un releu de mare capacitate (mai multe instanțe Tor pe server) sau doriți să utilizați caracteristici de securitate puternice, cum ar fi Offline Master Keys fără a efectua pași suplimentari manual, este posibil să doriți să utilizați gestionarea configurației pentru o mai bună întreținere.

Există mai multe soluții de management al configurației pentru sistemele de operare bazate pe Unix (Ansible, Puppet, Salt, ...).

Următorul rol Ansible a fost construit special pentru operatorii de relee Tor și suportă mai multe sisteme de operare:Ansible Relayor.

5. Important: dacă executați mai multe instanțe Tor

Pentru a evita să puneți clienții Tor în pericol, atunci când utilizați mai multe relee, trebuie să setați o valoare corespunzătoare MyFamily și să aveți o valoare validă ContactInfo în configurația torrc. Setarea MyFamily înseamnă pur și simplu să spui clienților Tor ce releele Tor sunt controlate de o singură entitate / operator / organizație, astfel încât acestea să nu fie utilizate în mai multe poziții într-un singur circuit.

Dacă rulați două relee care au amprente AAAAAAAAAAA și BBBBBBBB, veți adăuga următoarea configurație pentru a seta MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

pentru ambele relee. Pentru a găsi amprenta releului, puteți căuta în fișierele jurnal atunci când Tor pornește sau puteți găsi fișierul numit „amprentă” în directorul de date Tor.

În loc să faceți acest lucru manual, pentru operatorii mari vă recomandăm să automatizați setarea MyFamily printr-o soluție de gestionare a configurației. Gestionarea manuală a MyFamily pentru grupuri mari de relee este predispusă la erori și poate pune clienții Tor în pericol.

6. Add firewall rules to protect against DDoS attacks

Configuring your firewall to stop too many concurrent connections has been shown to significantly help deal with DDoS attacks against relays.

Consider implementing one of the following mechanisms:

Note: These are community provided resources. You should check them carefully before applying them to your system. Additionally, be aware that these rules have been shown to work for particular attacks that have happened in the past. Attacks are constantly evolving and will often need new rules, so please stay connected to update these as necessary, either by subscribing to the relevant project or by subscribing to the tor-relays mailing list.

7. Optional: Limiting bandwidth usage (and traffic)

Tor nu limitează în mod implicit utilizarea lățimii de bandă, dar acceptă mai multe moduri de a restricționa lățimea de bandă folosită și cantitatea de trafic. Acest lucru poate fi util dacă doriți să vă asigurați că releul Tor nu depășește o anumită valoare pentru lățimea de bandă sau pentru traficul total pe zi / săptămână / lună. Pentru a restricționa lățimea de bandă și traficul, pot fi utilizate următoarele opțiuni de configurare torrc:

  • AccountingMax
  • AccountingRule
  • AccountingStart
  • BandwidthRate
  • BandwidthBurst
  • RelayBandwidthRate

A avea un releu rapid pentru o anumită perioadă a lunii este de preferat comparativ cu un releu lent pentru întreaga lună.

De asemenea, a se vedea intrarea de lățime de bandă în secțiunea întrebări frecvent adresate.

8. Check IPv6 availability

Îi încurajăm pe toți să activeze IPv6 pe releele lor. Acest lucru este deosebit de valoros la releele de ieșire și de pază.

Înainte de a permite demonului tor să folosească IPv6 pe lângă IPv4, ar trebui să efectuați câteva teste de bază a conexiunii prin IPv6 .

Următoarea linie de comandă va face ping la adresele IPv6 ale autorităților directorului Tor de pe serverul dvs.:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

La sfârșitul ieșirii ar trebui să vedeți "OK." dacă nu este cazul, nu activați IPv6 în fișierul de configurare torrc înainte ca IPv6 să funcționeze într-adevăr. Dacă activați IPv6 fără a utiliza conectivitatea IPv6, întregul dvs. Releu va rămâne neutilizat, indiferent dacă IPv4 funcționează.

Dacă totul a funcționat bine, faceți releul Tor accesibil prin IPv6 adăugând o linie de comandă suplimentară la configurația ORPort (exemplu pentru ORPort 9001):

ORPort [IPv6-address]:9001

Locația acelei linii în fișierul de configurare nu contează. Puteți pur și simplu să-l adăugați lângă primele linii ORPort din fișierul dumneavoastră torrc.

Notă: trebuie să specificați în mod explicit adresa IPv6 între paranteze pătrate, nu puteți spune tor să se conecteze prin orice IPv6 (așa cum o faceți pentru IPv4). Dacă aveți o adresă IPv6 globală, ar trebui să o puteți găsi în răspunsul afișat după următoarea comandă:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

Dacă sunteți un releu de ieșire cu conectivitate IPv6, spuneți-i demonului tor să permită ieșirea prin IPv6, astfel încât clienții să poată ajunge la destinații IPv6:

IPv6Exit 1

Notă: Tor necesită conectivitate IPv4, nu puteți rula un releu Tor numai pe IPv6.

9. Maintaining a relay

Copii de rezervă pentru cheile de identitate Tor

După instalarea inițială și pornirea demonului tor, este bine să faceți o copie de rezervă a cheilor de identitate pe termen lung ale releului. Acestea sunt amplasate în subfolderul „keys” din DataDirectory (faceți pur și simplu o copie a întregului folder și salvați-l într-o locație sigură). Deoarece releele au un timp de lansare, este logic să faceți o copie de rezervă a cheii de identitate pentru a putea restabili reputația releului după o defecțiune a discului - altfel ar trebui să treceți din nou prin faza de lansare. Faceți acest lucru numai dacă aveți un loc foarte sigur pentru cheile dumneavoastră ca și cum ar fi furate, aceste chei ar putea permite teoretic decriptarea traficului sau imitarea.

Locații implicite ale folderului keys :

  • Debian/Ubuntu: /var/lib/tor/keys
  • FreeBSD: /var/db/tor/keys
  • OpenBSD: /var/tor/keys
  • Fedora: /var/lib/tor/keys

Abonați-vă la lista de corespondență anunțată de tor

Aceasta este o listă de e-mail cu trafic foarte redus și veți obține informații despre noile versiuni stabile ale Tor și informații importante despre actualizarea securității: anunțuri tor.

Configurarea notificărilor de întrerupere

Once you have set up your relay, it will likely run without much work from your side. If something goes wrong, it is good to get notified automatically. We recommend using Tor Weather, a notification service developed by the Tor Project. It helps relay operators get notified when their relays or bridges are offline, as well as for other incidents.

Another option is to use one of the free services that allow you to check your relay's ORPorts for reachability and send you an email should they become unreachable for any reason. UptimeRobot este unul dintre aceste servicii care vă permit să monitorizați ascultătorii TCP pe porturile arbitrare. Acest serviciu vă poate verifica porturile configurate o dată la 5 minute și vă poate trimite un e-mail în cazul în care procesul de operare se oprește sau nu poate fi găsit. Aceasta verifică doar ascultătorul, dar nu vorbește despre protocolul Tor.

O modalitate bună de a monitoriza un releu pentru starea sa de sănătate este prin verificarea graficelor sale cu lățimea de bandă.

Monitorizarea sănătății sistemului

Pentru a vă asigura că releul dvs. este sănătos și nu este copleșit, este logic să aveți anumite monitorizări de bază ale sistemului pentru a urmări următoarele valori:

  • Lățime de bandă
  • Conexiuni TCP stabilite
  • Memorie
  • Swap
  • CPU

Există multe instrumente pentru monitorizarea acestui tip de date, iar munin este unul dintre ele și este relativ ușor de configurat.

Notă: Nu faceți public graficul de date de monitorizare privată, deoarece acest lucru ar putea ajuta atacatorii să deanonimizeze utilizatorii Tor.

Câteva sfaturi practice:

  • Dacă doriți să publicați statistici de trafic, ar trebui să agregați întregul trafic al releelor pe cel puțin o săptămână, apoi să îl rotunjiți până la cel mai apropiat 10 TiB (terabyte).
  • Raportarea releelor individuale este mai nepotrivită comparativ cu raportarea totală pentru grupurile de relee. În viitor, tor va agrega în mod sigur statisticile de lățime de bandă, astfel încât orice raportare individuală a lățimii de bandă a releului va fi mai puțin sigură decât statisticile tor.
  • Perioadele mai mici sunt mai nepotrivite.
  • Cifrele sunt mai nepotrivite, comparativ cu graficele.
  • Datele în timp real sunt mai nepotrivite comparativ cu datele istorice.
  • Datele detaliate pe categorii (versiunea IP, intrare / ieșire etc.) sunt mai nepotrivite comparativ cu datele generale.

Instrumente

Această secțiune enumeră câteva instrumente pe care le puteți găsi la îndemână ca operator de relee Tor.

  • Nyx: este un instrument Tor Project (anterior componentă) care vă permite să vedeți în timp real date ale releului dvs.

  • vnstat: vnstat este un instrument de linie de comandă care arată cantitatea de date care trec prin conexiunea de rețea. Puteți utiliza, de asemenea, genera imagini PNG care prezintă grafice de trafic. documentație vnstat și ieșirile demo.