1. Включите автоматическое обновление программ
Одно из главных условий защиты узла – своевременно устанавливать обновления безопасности. Лучше делать это автоматически, чтобы не забыть.
Следуйте инструкциям по включению автоматического обновления программ для вашей операционной системы.
2. Установите Tor
# pkg_add tor
2.1. Рекомендации по установке Tor
Если хотите установить свежую версию пакета tor, используйте двоичные пакеты от M:Tier:
# ftp https://stable.mtier.org/openup
Как скачаете openup, можете запустить для синхронизации репозитория M:Tier и обновления ваших пакетов. Это альтернатива pkg_add -u.
Это делается так:
# ./openup
3. Установите obfs4proxy
# pkg_add obfs4proxy
4. Найдите файл настроек Tor (обычно тут: /etc/tor/torrc), откройте и замените содержимое на:
RunAsDaemon 1
BridgeRelay 1
# Замените "TODO1" портом Tor по своему выбору. Этот порт должен быть доступен
# Избегайте порта 9001. Он обычно ассоциируется с Tor. Цензоры
# могут знать об этом, просматривая Интернет.
ORPort TODO1
ServerTransportPlugin obfs4 exec /usr/local/bin/obfs4proxy
# Замените "TODO2" портом obfs4 по своему выбору. Этот порт должен быть
# доступен извне и отличаться от порта ORPort.
# Избегайте порта 9001. Он обычно ассоциируется с Tor
# Цензоры могут знать об этом, просматривая Интернет.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2
# Местный коммуникационный порт между Tor и obfs4. Всегда выбирайте значение "auto".
# "Ext" значит "расширенный", а не "внешний". Не пытайтесь установить конкретный
# номер порта или слушать 0.0.0.0.
ExtORPort auto
# Замените "<address@email.com>" вашим адресом email, чтобы мы могли связаться с вами
# в случае проблем с вашим мостом. Это необязательно, но желательно.
ContactInfo <address@email.com>
# Выберите название для своего моста. (Это необязательно).
Nickname PickANickname
DataDirectory /var/tor
User _tor
Не забудьте изменить опции ORPort, ServerTransportListenAddr, ContactInfo и Nickname.
- Обратите внимание: и OR-порт Tor, и порт obfs4 должны быть доступны. Если ваш мост находится за межсетевым экраном или NAT, убедитесь, что оба порта открыты. Чтобы проверить, доступен ли obfs4-порт из Интернета, можете использовать наш тест.
5. Измените openfiles-max и maxfiles
По умолчанию для каждого процесса в OpenBSD установлено довольно низкое предельное число открытых файлов. Для Tor, который открывает соединение с каждым новым узлом (в настоящее время таких узлов 7 тысяч), это ограничение надо смягчить.
Добавьте в /etc/login.conf следующее:
tor:\
:openfiles-max=13500:\
:tc=daemon:
В OpenBSD также на уровне ядра устанавливается ограничение файлового дескриптора в переменной sysctl kern.maxfiles.
Увеличьте с 7030 (по умолчанию) до 16000:
# echo "kern.maxfiles=16000" >> /etc/sysctl.conf
# sysctl kern.maxfiles=16000
6. Запустите Tor
# rcctl enable tor
# rcctl start tor
7. Следите за логами (обычно в вашем syslog)
Доказательством того, что ваш мост работает без проблем, служит примерно такая запись:
[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
8. В завершение
Если у вас проблемы с настройкой моста, обратите внимание на наш раздел помощи.
Если ваш мост работает прямо сейчас, загляните в примечания после установки.