1. تأكد من إمكانية الوصول إلى منافذ الترحيل
إذا كنت تستخدم جدارًا ناريًا ، فافتح فجوة في جدار الحماية الخاص بك حتى تتمكن الاتصالات الواردة من الوصول إلى المنافذ التي ستستخدمها في الترحيل (ORPort ، بالإضافة إلى DirPort إذا قمت بتمكينه).
تأكد أيضًا من السماح لجميع الاتصالات الصادرة أيضًا ، حتى يتمكن المرحل الخاص بك من الوصول إلى مرحلات Tor الأخرى والعملاء والوجهات.
يمكنك العثور على رقم منفذ ORPort TCP المحدد في عينات تكوين torrc أدناه (في الأقسام الخاصة بنظام التشغيل).
2. تحقق من أن التتابع الخاص بك يعمل
إذا كان ملف السجل الخاص بك (syslog) يحتوي على الإدخال التالي بعد بدء البرنامج الخفي لـ tor الخاص بك ، يجب أن يتم تشغيل الترحيل كما هو متوقع:
يشير الاختبار الذاتي إلى أنه يمكن الوصول إلى منفذ ORPort من الخارج. ممتاز.
واصف خادم النشر.
بعد حوالي 3 ساعات من بدء الترحيل ، من المفترض أن يظهر في بحث التتابع. يمكنك البحث عن المرحل الخاص بك باستخدام لقبك أو عنوان IP الخاص بك.
3. اقرأ عن دورة حياة مرحل Tor
يستغرق تكثيف حركة الترحيل بعض الوقت ، وينطبق هذا بشكل خاص على مرحلات الحراسة ولكن لتمديد أقل أيضًا لمرحلات الخروج. لفهم هذه العملية ، اقرأ عن دورة حياة الترحيل الجديد.
4. إدارة التكوين
إذا كنت تخطط لتشغيل أكثر من مرحل واحد ، أو كنت تريد تشغيل مرحل عالي السعة (مثيلات Tor متعددة لكل خادم) أو تريد استخدام ميزات أمان قوية مثل Offline Master Keys دون تنفيذ خطوات إضافية يدويًا ، قد ترغب في استخدام إدارة التكوين لتحسين إمكانية الصيانة.
هناك العديد من حلول إدارة التكوين لأنظمة التشغيل المستندة إلى Unix (Ansible ، Puppet ، Salt ، ...).
تم إنشاء الدور Ansible التالي خصيصًا لمشغلي مرحل Tor ويدعم أنظمة تشغيل متعددة: Ansible Relayor.
5. هام: إذا قمت بتشغيل أكثر من مثيل Tor
لتجنب تعريض عملاء Tor للخطر ، عند تشغيل مرحلات متعددة ، يجب عليك تعيين قيمة مناسبة MyFamily وأن يكون لديك قيمة صالحة ContactInfo في تكوين torrc. الإعداد MyFamily هو إخبار عملائك ببساطة عن مرحلات Tor التي يتحكم فيها كيان / مشغل / منظمة واحدة ، لذلك لا يتم استخدامها في مواقع متعددة في دائرة واحدة.
إذا قمت بتشغيل مرحلتين ولديهما بصمات أصابع AAAAAAAAAA و BBBBBBBB ، يمكنك إضافة التكوين التالي لضبط MyFamily:
MyFamily AAAAAAAAAA,BBBBBBBB
لكلا المرحلات. للعثور على بصمة الترحيل ، يمكنك البحث في ملفات السجل عند بدء تشغيل Tor أو العثور على الملف المسمى "بصمة الإصبع" في tor DataDirectory.
بدلاً من القيام بذلك يدويًا ، نوصي كبار المشغلين بأتمتة إعداد MyFamily عبر حل إدارة التكوين. تعد إدارة MyFamily لمجموعات الترحيل الكبيرة يدويًا عرضة للخطأ ويمكن أن تعرض عملاء Tor للخطر.
6.اختياري: تقييد استخدام النطاق الترددي (وحركة المرور)
لن يحد Tor من استخدام عرض النطاق الترددي افتراضيًا ، ولكنه يدعم طرقًا متعددة لتقييد النطاق الترددي المستخدم ومقدار حركة المرور. يمكن أن يكون هذا مفيدًا إذا كنت تريد التأكد من أن مرحل Tor الخاص بك لا يتجاوز قدرًا معينًا من النطاق الترددي أو إجمالي حركة المرور في اليوم / الأسبوع / الشهر. يمكن استخدام خيارات تكوين torrc التالية لتقييد النطاق الترددي وحركة المرور:
- AccountingMax
- AccountingRule
- AccountingStart
- BandwidthRate
- BandwidthBurst
- RelayBandwidthRate
يُفضل وجود ترحيل سريع لبعض أوقات الشهر على الترحيل البطيء طوال الشهر.
راجع أيضًا إدخال النطاق الترددي في FAQ.
7. تحقق من توفر IPv6
نحن نشجع الجميع على تمكين IPv6 على مرحلاتهم. هذا مهم بشكل خاص على مرحلات الخروج والحراسة.
قبل تمكين عفريت tor الخاص بك لاستخدام IPv6 بالإضافة إلى IPv4 ، يجب عليك إجراء بعض اختبارات اتصال IPv6 الأساسية.
سيقوم سطر الأوامر التالي باختبار اتصال عناوين IPv6 لسلطات دليل Tor من الخادم الخاص بك:
ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2607:8500:154::3 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.
في نهاية الإخراج سترى "موافق". إذا لم يكن الأمر كذلك ، فلا تقم بتمكين IPv6 في ملف تكوين torrc قبل أن يعمل IPv6 بالفعل. إذا قمت بتمكين IPv6 بدون اتصال IPv6 يعمل ، فلن يتم استخدام المرحل بالكامل ، بغض النظر عما إذا كان IPv4 يعمل.
إذا كان يعمل بشكل جيد ، اجعل إمكانية الوصول إلى مرحل Tor الخاص بك عبر IPv6 عن طريق إضافة خط ORPort إضافي إلى التكوين الخاص بك (على سبيل المثال لـ ORPort 9001):
ORPort [IPv6-address]:9001
لا يهم موقع هذا الخط في ملف التكوين. يمكنك ببساطة إضافته بجوار خطوط ORPort الأولى في ملف torrc.
ملاحظة: يجب عليك تحديد عنوان IPv6 الخاص بك بشكل صريح بين قوسين مربعين ، ولا يمكنك إخبار Tor بالالتزام بأي IPv6 (مثلما تفعل مع IPv4). إذا كان لديك عنوان IPv6 عالمي ، فيجب أن تكون قادرًا على العثور عليه في إخراج الأمر التالي:
ip -6 addr | grep global | sed 's/inet6//;s#/.*##'
إذا كنت تمثل مرحل خروج مع اتصال IPv6 ، فأخبر برنامج tor الخاص بك للسماح بالخروج عبر IPv6 حتى يتمكن العملاء من الوصول إلى وجهات IPv6:
IPv6Exit 1
ملاحظة: يتطلب Tor اتصال IPv4 ، ولا يمكنك تشغيل مرحل Tor على IPv6 فقط.
8.الحفاظ على التتابع
نسخ احتياطي لمفاتيح هوية Tor
بعد التثبيت الأولي وبدء برنامج Tor الخفي ، من الأفضل عمل نسخة احتياطية من مفاتيح الهوية طويلة المدى الخاصة بالترحيل. وهي موجودة في المجلد الفرعي "keys" في DataDirectory (ما عليك سوى عمل نسخة من المجلد بأكمله وتخزينه في مكان آمن). نظرًا لأن المرحلات لها وقت زيادة ، فمن المنطقي إجراء نسخ احتياطي لمفتاح الهوية حتى تتمكن من استعادة سمعة الترحيل بعد فشل القرص - وإلا فسيتعين عليك المرور بمرحلة زيادة السرعة مرة أخرى.
المواقع الافتراضية لمجلد المفاتيح:
- Debian/Ubuntu:
/var/lib/tor/keys - FreeBSD:
/var/db/tor/keys - OpenBSD:
/var/tor/keys - Fedora:
/var/lib/tor/keys
اشترك في قائمة tor-announce البريدية
هذه قائمة بريدية ذات حركة مرور منخفضة للغاية وستحصل على معلومات حول إصدارات tor المستقرة الجديدة ومعلومات تحديث الأمان المهمة: tor-announce.
إعداد إخطارات انقطاع التيار الكهربائي
بمجرد إعداد المرحل الخاص بك ، فمن المحتمل أن يعمل دون الكثير من العمل من جانبك. إذا حدث خطأ ما ، فمن الجيد أن يتم إعلامك تلقائيًا. نوصيك باستخدام إحدى الخدمات المجانية التي تسمح لك بالتحقق من منافذ ORPorts للترحيل من أجل الوصول إليها وإرسال بريد إلكتروني إليك في حالة تعذر الوصول إليها لأي سبب من الأسباب.
UptimeRobot هي إحدى هذه الخدمات التي تتيح لك مراقبة مستمعي TCP على منافذ عشوائية. يمكن لهذه الخدمة التحقق من المنافذ التي تمت تهيئتها مرة واحدة كل 5 دقائق وإرسال بريد إلكتروني إليك إذا ماتت العملية أو أصبحت غير قابلة للوصول. هذا يتحقق فقط من المستمع ولكن لا يتحدث بروتوكول Tor.
من الطرق الجيدة لمراقبة مرحل لحالته الصحية إلقاء نظرة على الرسوم البيانية لعرض النطاق الترددي الخاص به.
مراقبة صحة النظام
للتأكد من أن جهاز الترحيل الخاص بك سليم وغير مرهق ، فمن المنطقي أن يكون لديك بعض مراقبة النظام الأساسية لمراقبة المقاييس التالية:
- سعة النقل
- إنشاء اتصالات TCP
- ذاكرة
- مبادلة
- وحدة المعالجة المركزية
هناك العديد من الأدوات لمراقبة هذا النوع من البيانات ، munin هي واحدة منها وسهلة الإعداد نسبيًا.
ملاحظة: لا تجعل الرسوم البيانية لبيانات المراقبة الخاصة بك عامة لأن هذا قد يساعد المهاجمين في تحديد هوية مستخدمي Tor.
بعض النصائح العملية:
- إذا كنت ترغب في نشر إحصائيات حركة المرور ، فيجب عليك تجميع كل حركة مرور المرحلات الخاصة بك على مدار أسبوع على الأقل ، ثم تقريب ذلك إلى أقرب 10 تيرابايت (تيرابايت).
- يعد الإبلاغ عن المرحلات الفردية أسوأ من الإبلاغ عن الإجماليات لمجموعات المرحلات. في المستقبل ، سوف يقوم Tor بتجميع إحصائيات النطاق الترددي بشكل آمن ، لذا فإن أي تقرير عن عرض النطاق الترددي الفردي سيكون أقل أمانًا من إحصائيات Tor.
- الدورات الشهرية الصغيرة تكون أسوأ.
- الأرقام أسوأ من الرسوم البيانية.
- بيانات الوقت الفعلي أسوأ من البيانات السابقة.
- البيانات في الفئات (إصدار IP ، داخل / خارج ، إلخ) أسوأ من البيانات الإجمالية.
أدوات
يسرد هذا القسم بعض الأدوات التي قد تجدها في متناول يديك كمشغل ترحيل Tor.
Nyx: هي أداة مشروع Tor (المعروفة سابقًا باسم arm) والتي تسمح لك بمشاهدة بيانات الوقت الفعلي لمرحلتك.
vnstat: vnstat هي أداة سطر أوامر تُظهر كمية البيانات التي تمر عبر اتصال الشبكة. يمكنك أيضًا استخدامه لإنشاء صور PNG تعرض الرسوم البيانية لحركة المرور. وثائق vnstat و إخراج تجريبي.