1. לוודא שערוצי הניותוב ברי הגעה

אם אתם משתמשים בחומת אש, פיתחו חלון בחומת האש כדי שהתקשרויות נכנסות יכולות להגיע לערוצים בהם תשתמשו לניתוב (ORPort, בתוספת DirPort הפעלתם זאת).

כמו כן וודאו שיש הרשאה לכל ההתקשרויות גם כן, כך הניתוב שלכם יכול להגיע לנתבי Tor אחרים, קליינטים, ויעדים.

תוכלו למצוא את מספר הערוץ ORPort TCP הספציפי בדוגמאות קונפיגורצית torrc שמתחת. (בחלקים הספציפיים של מערכות ההפעלה).

2. וודאו שהניתוב שלכם פועל

אם קובץ הלוג שלכם (syslog) כולל את הכניסה הבא אחרי שהתחלתם את tor daemon שלכם הניתוב שלכם פועל כפי שמצופה:

Self-testing מציין ש ORPort שלכם בר הגעה מבחוץ. מצויין.
פרסום שרת descriptor.

כ 3 שעות אחרי שתפעילו את הניתוב הוא צריך להופיע על Relay Search. אפשר לחפש את הניתוב שלכם תוך שימוש בשם המקוצר או כתובת ה IP.

3. קיראו על מחזור החיים של ניתוב Tor

לוקח זמן עד שתעבורת הניתוב לגדול, והדבר נכון במיוחד עבור ניתובי guard אך במדה פחותה גם לניתובי יציאה. כדי להבין תהליך זה, קיראו עליו ב lifecycle of a new relay.

4. ניהול הקונפיגורציה

אם אתם מתכננים להפעיל יותר מניתוב בודד, או שאתם רוצים להפעיל ניתוב בקיבולת גבוהה (יחידות Tor מרובות בכל שרת) או רוצים תכונות אבטחה חזקה כגון Offline Master Keys ללא ביצוע צעדים נוספים ידנית, תוכלו להשתמש במנהל הקונפיגורציה לצורך תחזוקה טובה יותר.

ישנם פתרונות ניהול קונפיגורציה רבות עבור מערכות הפעלה מבוססות Unix כגון (Ansible, Puppet, Salt, ...).

ה Ansible Role שלהלן נבנה ספציפית עבור מפעילי ניתוב Tor ותומך במערכות ההפעלה:Ansible Relayor.

5. חשוב: אם הנכם מפעילים יותר מיחידת Tor אחת

כדי להמנע מלהעמיד בסיכון טקלייני Tor כאשר מפעילים ניתובים מרובים חייבים להגדיר נכונה את ערך MyFamily ו ContactInfo וולידי בקנופיגורציית torrc  שלכם. הגדרת MyFamily פשוט אומרת לקליינטי Tor אילו ניתובי Tor מפוקחות על ידי מעגל של ישות/מפעיל/ארגון יחידים.

אם אתם מפעילים שני ניתובים שטביעת האצבע שלהם היא AAAAAAAAAA ו BBBBBBBB, אתם תוסיפו את הקונפיגורציה הבא להגדרות MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

לשני הניתובים. כדי למצוא את טביעות האצבע של הניתובים שלכם תוכלו לעיין בקבצי הלוג כאשר Tor מתחיל או למצוא קובץ בשם "fingerprint" ב DataDirectory. של Tor.

במקום לעשות זאת באופן ידני, למפעילים גדולים אנו ממליצים למכן את הגדרות MyFamily  דרך פתרונות מנהל הקונפיגורציה. הניהול הידני של MyFamily  הנו מועד לשגיאות עבור קבוצות מפעיל ניתוב גדולות ויכול להעמיד את קליינטי Tor בסיכון.

6. אופציונלי: הגבלת השימוש ברוחב הפס (או בתעבורה)

Tor לא יגביל את שימוש ברוחב הפס כברירת מחדל, אך יתמוך בצורות שונות בהגבלת השימוש וכמות התעבורה. הדבר יכול להיות שימושי אם תרצו להבטיח שניתוב Tor שלכם אינו עובר רף מסוים של רוחב פס או סך תעבורה ביום/שבוע/חודש. אפשרויות הקונפיגורציה הבאות של torrc יכולות לאפשר הגבלת רוחב הפס והתעבורה:

  • AccountingMax
  • AccountingRule
  • AccountingStart
  • BandwidthRate
  • BandwidthBurst
  • RelayBandwidthRate

קיומו של ניתוב מהיר בזמנים מסוימים בחודש עדיף על ניתוב איטי לאורך כל החודש.

Also see the bandwidth entry in the FAQ.

7. בדיקה של זמינות IPv6

אנו מעודדים כל אחד ואחת להפעיל את IPv6 בניתובים שלהם. הדבר בעל ערך במיוחד עבור ניתובי יציאה וניתובי guard.

לפני שמאפשרים ל tor daemon שלכם להשתמש ב IPv6  בתוספת ל IPv4 עליכם לבצע כמה בדיקות תקשורת של IPv6.

שורת הפקודה הבאה תבצע ping לכתובותIPv6 של Tor directory authorities מהשרת שלכם:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2607:8500:154::3 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

בסוף הפלט אתם צריכים לראות "OK." אם זה לא המקרה אל תפעילו אתIPv6 i בקובץ קונפיגורצית torrc לפני ש IPv6 באצץ עןבד. אם תפעילו את IPv6 מבלי שתקשורת IPv6 עובדת, כל הניתוב שלכם כולו ישאר ללא שימוש, גם אם IPv4 עובד.

אם זה עבד כהלכה, וודאו שניתוב Tor שלכם זמין דרך IPv6 על ידי הוספת שורת ORPort נוספת בקונפיגורציה שלכם. (דוגלמה ל ORPort 9001):

ORPort [IPv6-address]:9001

המיקום של השורה בקובץ הקונפיגורציה אינו משנה. You can simply add it next to the first ORPort lines in your torrc file.

הערה: יש להגדיר ספציפית את כתובת IPv6 בין סוגריים מרובעות, אין לומר ל Tor להקשר לאף IPv6 (כפי שעושים זאת ל IPv4.) אם יש לכם כתובת IPv6 גלובלית תוכלו למצוא אותה בפלט של הפקודה הבאה:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

אם הנכם ניתוב יציאה עם תקשורת IPv6, עדכנו את tor daemon שלכם לאפשר יציאה דרך IPv6 כדי שקליינטים יוכלו להגיע ליעדי IPv6:

IPv6Exit 1

הערה: Tor מחיב תקשורת IPv4 , אינכם יכולים להפעיל ניתוב Tor על IPv6-only.

8. תחזוקת נתב

גיבוי של מפתחות זהות של Tor

לאחר ההתקנה והאיתחול של tor daemon זה רעיון טוב לבצע גיבוי למפתחות הזהות לטווח ארוך של הניתוב שלך . הם נמצאים בתת תיקייה "keys" של ה DataDirectory (פשוט הכן עותק של כל התיקייה ושמור אותו במקום מאובטח. מאחר ולניתובים יש זמן עלייה הגיוני לגבות את מפתחות הזהות כדי להיות מסוגל לשחזר את המוניטין של הניתוב שלך במקרה של כשלון דיסק - אחרת תצטרך לעבור את כל שלב העלייה מחדש.

מיקומי ברירת המחדל של תיקיית המפתחות:

  • Debian/Ubuntu: /var/lib/tor/keys
  • FreeBSD: /var/db/tor/keys
  • OpenBSD: /var/tor/keys
  • Fedora: /var/lib/tor/keys

הרשם ל tor-announce mailing list

זו רשימת דוא"ל עם תעבורה מאד נמוכה בה תקבלו מידע לגבי שחרור גירסאות יציבות חדשות ומידע על עדכוני אבטחה חשובים: tor-announce.

הגדרת הודעות על תקלות

ברגע שתסיים את הגדרות הניתוב הוא צפוי לפעול ללא צורך בעבודה רבה מצדך. אם משהוו משתבש כדאי לקבל הודעה אוטומטית. אנו ממליצים על שרותים חינמיים אשר מאפשרים לכם לבדוק את ORPorts של הניתוב לזמינות ולשלוח הודעת דוא"ל כאשר הוא הופך ללא זמין מכל סיבה שהיא.

UptimeRobot הנו אחד מהשרותים האלה המאפשר לפקח על האזנות ל TCP או לערוצים נבחרים. שרות זה יכול לבדוק את הערוצים המקונפגים כל 5 דקות ולשלוח לך הודעת דוא"ל כאשר tor process שלך הופך ללא זמין. הבדיקות הנן רק למאזין אך אינן מדברות בפרוטוקול של Tor.

דרך טובה לפקח על מצב הבריאות של הניתוב היא להסתכל בגרפים של רוחב הפס.

מעקב אחר בריאות המערכת

כדי להבטיח שהניתוב שלך בריא ולא מוצף יש הגיון לעשות שימוש בכמה כלי מעקב בסיסיים כדי לשים עין על המדדים הבאים:

  • Bandwidth
  • Established TCP Connections
  • Memory
  • Swap
  • CPU

יש כלים רבים לנטר סוג כזה של נתונים, munin הנו אחד מהם שקל יחסית להתקין אותו.

הערה: אל תהפכו את הניטור הפרטי שלכם לנתוני ניטור ציבוריים כיון שהדבר יכול לעזור למתקפות של הסרת האנונימיות של משתמשי Tor.

כמה עצות פרקטיות:

  • אם אתם רוצים לפרסם סטטיסטיקות תעבורה, עליכם לסכם את כל תעבורת הניתובים שלכם במשך לפחות שבוע, ואז עגלו את זה לקירוב של 10TB (טרהבייט)
  • הדווח על ניתובים בודדים גרוע יותר מאשר הסיכם של קבוצות ניתובים. בעתיד נספק זטטיסטיקות של נתוני רוחב פס סיכומיים, כך שכל דווח על רוחב פס של ניתוב יחיד יהיה פחות בטוח מאשר של סטטיסטיקות Tor.
  • תקופות קצרות יותר זה גרוע יותר.
  • נתונים מספריים גרועים יותר מאשר גרפים.
  • נתוני זמן אמת גרועים יותר מאשר נתוני היסטוריה.
  • נתונים לפי קטגוריות (IP version, in/out, etc.) גרוע יותר מאשר סך נתונים.

כלים

חלק זה מציג כמה כלים שיתכן שתמצאו שימושיים כמפעילי ניתוב Tor

  • Nyx: הנו כלי של פרויקט Tor (בעבר arm) שמאפשר לכם לראות נתוני זמן אמת של הניתוב שלכם..

  • vnstat: vnstat הוא כלי ברמת שורת הפקודה אשר מראה את כמות הנתונים שעוברים דרך תקשורת הרשת שלכם.. אפשר להשתמש בו כדי ליצור תמונות PNG הגרפים של התעבורה. vnstat documentation ו demo output.