1. Tenha certeza que as portas do relay podem ser alcançadas

Se você estiver usando um firewall, abra uma exceção em seu firewall para que conexões chegando possam alcançar as portas que você irá usar para seu retransmissor (ORPort, adicionalmente DirPort se você a habilitou).

Também certifique-se de permitir todas a conexões saindo, deste modo seu retransmissor poderá alcançar outros retransmissores Tor, clientes e destinações.

Você pode encontrar o número específico da port TCP ORPort nos exemplos de configuração do torrc abaixo (na seção específica SO).

2. Verifique que seu relay está funcionando

Se o seu logfile (syslog) contiver a seguinte entrada após iniciar seu tor daemon seu retransmissor deve estar instalado e funcionando como o esperado:

Auto-teste indica que sua ORPort pode ser acessada de fora. Excelente.
Publicando o descritor do servidor.

Após cerca de 3 horas após você ter iniciado o seu retransmissor, ele deve aparecer na Pesquisa de Retransmissores. Você pode pesquisar pelo seu nó usando seu apelido ou endereço IP.

3. Leia sobre o ciclo de vida do relay Tor

Leva algum tempo para que o tráfego de um retransmissor aumente, isto é especialmente verdade para retransmissores guarda, mas em menor extensão para retransmissores de saída. Para entender esse processo, leia sobre o ciclo de vida de um novo retransmissor.

4. Gerenciamento de Configuração

Se você planeja manter mais de um "único" retransmissor ou deseja executar um retransmissor de alta capacidade (múltiplas instâncias do Tor por servidor) ou usar recursos de segurança forte como Offline Master Keys sem executar passos adicionais manualmente, você deve querer usar o gerenciamento de configuração para uma melhor manutenção.

Existem várias soluções de gerenciamento de configuração para sistemas operando baseados em Unix (Ansible, Puppet, Salt, ...).

A seguinte função Ansible foi especificamente construída para operadores de retransmissores Tor e suporta vários sistemas operacionais: Ansible Relayor.

5. Importante: se você executar mais de uma instância do Tor

Para evitar colocar clientes Tor em risco, quando estiver operando múltiplos retransmissores você deve configurar um adequado valor MyFamily e ter uma ContactInfo válida na sua configuração do torrc. A diretiva MyFamily diz aos clientes Tor quais nós do Tor são controlados por uma única entidade / operador / organização, portanto, eles não são usados ​​em múltiplas posições em um único circuito.

Se você rodar dois nós e eles tiverem as impressões digitais AAAAAAAAAA e BBBBBBBB, você poderia adicionar a seguinte configuração para definir MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

para ambos retransmissores. Para encontrar a impressão digital do seu retransmissor você pode olhar nos arquivos de log quando Tor inicia ou encontrar o arquivo de nome "fingerprint" na sua DataDirector do Tor.

Ao invés de fazer-lo manualmente, para grandes operadores nós recomendamos automatizar a configuração do MyFamily através da solução de gerenciamento de configuração. Gerenciando manualmente MyFamily para grandes grupos de retransmissores é propenso ao erro e pode colocar clientes Tor em risco.

6. Opicional: Limitando uso de bandwidth (e tráfego)

Tor não limitará o uso de bandwidth por padrão, porém suporta várias maneiras de restringir a bandwidth usada e a quantidade de tráfego. Isso pode ser útil se você quiser garantir que seu nó do Tor não exceda uma certa quantidade de largura de banda ou tráfego total por dia / semana / mês. As seguintes opções de configuração do torrc podem ser usadas para restringir a largura de banda e o tráfego:

  • AccountingMax
  • AccountingRule
  • AccountingStart
  • BandwidthRate
  • BandwidthBurst
  • RelayBandwidthRate

Ter um nó rápido por alguns dias do mês é preferível a um nó lento durante todo o mês.

Also see the bandwidth entry in the FAQ.

7. Verifique a disponibilidade de IPv6

Encorajamos todos a habilitar o IPv6 em seus nós. Isso é especialmente valioso em nós de saída e guarda.

Antes de habilitar seu daemon tor para usar IPv6 além do IPv4 você deveria fazer alguns testes básicos de conectividade IPv6.

A seguinte linha de comando vai pingar os endereços IPv6 do directory authorities do seu servidor:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2607:8500:154::3 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

Ao final do resultado você deve ver "OK". Se esse não for o caso, não habilite o IPv6 na sua configuração de arquivo torrc antes do IPv6 estar funcionando de fato. Se você habilitar o IPv6 sem uma conectividade IPv6 funcionando, seu retransmissor permanecerá sem uso, independentemente se o IPv4 estiver funcionando.

Se ele funcionar bem, torne seu retransmissor Tor acessível via IPv6 ao adicionar uma linha ORPort adicional em sua configuração (exemplo para uma ORPort 9001):

ORPort [IPv6-address]:9001

A localização dessa linha linha no arquivo de configuração não importa. You can simply add it next to the first ORPort lines in your torrc file.

Observação: Você tem que especificar explicitamente seu endereço IPv6 entre colchetes, você não pode dizer ao Tor para vincular nenhum IPv6 (como você faz para IPv4). Se você tem um endereço IPv6 global você deve ser capaz de achá-lo no resultado do seguinte comando:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

Se você estiver em um retransmissor de saída com conectividade IPv6, diga ao seu Tor daemon para permitir saída via IPv6 para que clientes possam alcançar destinações IPv6:

IPv6Exit 1

Nota: Tor requer conectividade IPv4, você não pode executar um retransmissor Tor apenas com IPv6.

8. Mantendo um retransmissor

Backup Chaves de Identidade Tor

Após sua instalação inicial e inicialização do daemon Tor é uma boa ideia fazer um backup das chaves de identidade de longo prazo do seu retransmissor. Elas estão localizadas na subpasta "keys" do seu DataDirectory (apenas faça uma cópia da pasta inteira e guarde-a em uma local seguro). Visto que retransmissores tem um tempo para ganhar escala, faz sentido fazer um backup da chave de identidade para ser capaz de restaurá a reputação do seu retransmissor após uma falha de disco - de outra maneira você teria que passar pela fase de ganho de escala novamente.

Localizações padrão da pasta 'keys':

  • Debian/Ubuntu: /var/lib/tor/keys
  • FreeBSD: /var/db/tor/keys
  • OpenBSD: /var/tor/keys
  • Fedora: /var/lib/tor/keys

Subscreva a lista de correio tor-announce

Esta é uma lista de correio com muito pouco tráfego e você terá informação sobre novas versões estáveis do Tor e informações de atualizações de segurança importantes: tor-announce.

Configurando interrupção de notificações

Assim que você configurar seu retransmissor ele irá rodar praticamente sem muito trabalho da sua parte. Se alguma coisa der errado é bom ser notificado automaticamente. Recomendamos que você use um dos serviços gratuitos que permitem que você verifique as ORPorts de seu retransmissor quanto à acessibilidade e envie um e-mail caso eles se tornem inacessíveis por qualquer motivo.

UptimeRobot é um desses serviços que permite monitorar ouvintes TCP em portas arbitrárias. Este serviço pode verificar suas portas configuradas uma vez a cada 5 minutos e enviar um e-mail caso seu processo Tor expire ou se torne inacessível. Isso verifica apenas o ouvinte, mas não conversa com o protocolo Tor.

Uma boa maneira de monitorar um retransmissor quanto ao seu estado de integridade é dar uma olhada em seus gráficos de bandwidth.

Monitoramento da integridade do sistema

Para garantir que seu retransmissor esteja íntegro e não sobrecarregado, faz sentido ter algum monitoramento básico do sistema para ficar de olho nas seguintes métricas:

  • Largura de Banda
  • Conexões TCP Estabelecidas
  • Memória
  • Swap
  • Processador

Existem muitas ferramentas para monitorar este tipo de dados, munin é uma delas e é relativamente fácil de configurar.

Observação: Não torne públicos seus gráficos de dados de monitoramento privados, pois isso pode ajudar os invasores a desanonimar os usuários de Tor.

Alguns conselhos práticos:

  • Se você quiser publicar estatísticas de tráfego, você deve agregar todo o tráfego de seu retransmissor ao longo de pelo menos uma semana e arredondar para os 10 TiB (terabytes) mais próximos.
  • Reportar retransmissores individuais é pior do que reportar totais para grupos de retransmissores. No futuro, o Tor irá agregará com segurança as estatísticas de bandwidth, de modo que qualquer relatório individual de bandwidth do retransmissor será menos seguro do que as estatísticas do Tor.
  • Períodos menores são piores. Números são piores que gráficos.Informação ao vivo é pior do que informação histórica. *Informação em categorias (versão de IP, in/out, etc) são piores que a informação total.

Ferramentas

Está seção lista algumas ferramentas que você pode achar úteis como um operador de retransmissor Tor.

  • Nyx: é uma ferramenta do Projeto Tor (antigo braço) que permite você ver informação em tempo real do seu retransmissor..

  • vnstat: é uma ferramente de linha de comando que mostra a quantidade de dados passando por sua conexão de rede. Você também pode usá-lo para gerar imagens PNG mostrando gráficos de tráfego. documentação vnstat e demo output.