1. Asigurați-vă că porturile releului pot fi accesate

Dacă utilizați un firewall, deschideți o zonă de acces prin firewall astfel încât conexiunile primite să poată ajunge la porturile pe care le veți folosi pentru releul dvs. (ORPort, plus DirPort dacă l-ați activat).

De asemenea, asigurați-vă că permiteți și toate conexiunile de ieșire, astfel încât releul dvs. poate ajunge la celelalte relee Tor, la clienți și la destinații.

You can find the specific ORPort TCP port number in the torrc configuration samples below (in the OS specific sections).

2. Verificați dacă releul dvs. funcționează

Dacă fișierul dvs. de înregistrare (syslog) conține următoarea intrare după pornirea demonului tor, releul dvs. ar trebui să funcționeze așa cum este de așteptat:

Auto-testarea indică faptul că ORPort-ul dvs. este accesibil din exterior. Excelent.
Publicarea descriptorului pentru server.

About 3 hours after you start your relay it should appear on Relay Search. Puteți căuta releul dvs. folosind porecla sau adresa IP.

3. Citiți despre ciclul de viață al releului Tor

Durează ceva timp pentru ca traficul cu relee să funcționeze, acest lucru este valabil mai ales în cazul releelor de pază, dar într-o măsură mai mică pentru releele de ieșire. Pentru a înțelege acest proces, citiți despre ciclul de viață al unui nou releu.

4. Administrarea configurației

If you plan to run more than a single relay, or you want to run a high capacity relay (multiple Tor instances per server) or want to use strong security features like Offline Master Keys without performing additional steps manually, you may want to use configuration management for better maintainability.

There are multiple configuration management solutions for Unix-based operating systems (Ansible, Puppet, Salt, ...).

The following Ansible Role has specifically been built for Tor relay operators and supports multiple operating systems: Ansible Relayor.

5. Important: dacă executați mai multe instanțe Tor

To avoid putting Tor clients at risk, when operating multiple relays you must set a proper MyFamily value and have a valid ContactInfo in your torrc configuration. Setarea MyFamily înseamnă pur și simplu să spui clienților Tor ce releele Tor sunt controlate de o singură entitate / operator / organizație, astfel încât acestea să nu fie utilizate în mai multe poziții într-un singur circuit.

Dacă rulați două relee care au amprente AAAAAAAAAAA și BBBBBBBB, veți adăuga următoarea configurație pentru a seta MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

to both relays. To find your relay's fingerprint you can look into the log files when tor starts up or find the file named "fingerprint" in your tor DataDirectory.

Instead of doing so manually, for big operators we recommend to automate the MyFamily setting via a configuration management solution. Manually managing MyFamily for big relay groups is error-prone and can put Tor clients at risk.

6. Opțional: limitarea utilizării lățimii de bandă (și a traficului)

Tor nu limitează în mod implicit utilizarea lățimii de bandă, dar acceptă mai multe moduri de a restricționa lățimea de bandă folosită și cantitatea de trafic. Acest lucru poate fi util dacă doriți să vă asigurați că releul Tor nu depășește o anumită valoare pentru lățimea de bandă sau pentru traficul total pe zi / săptămână / lună. Pentru a restricționa lățimea de bandă și traficul, pot fi utilizate următoarele opțiuni de configurare torrc:

  • AccountingMax
  • AccountingRule
  • AccountingStart
  • BandwidthRate
  • BandwidthBurst
  • RelayBandwidthRate

A avea un releu rapid pentru o anumită perioadă a lunii este de preferat comparativ cu un releu lent pentru întreaga lună.

Also see the bandwidth entry in the FAQ.

7. Verificați disponibilitatea IPv6

Îi încurajăm pe toți să activeze IPv6 pe releele lor. Acest lucru este deosebit de valoros la releele de ieșire și de pază.

Înainte de a permite demonului tor să folosească IPv6 pe lângă IPv4, ar trebui să efectuați câteva teste de bază a conexiunii prin IPv6 .

Următoarea linie de comandă va face ping la adresele IPv6 ale autorităților directorului Tor de pe serverul dvs.:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2607:8500:154::3 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

At the end of the output you should see "OK." if that is not the case, do not enable IPv6 in your torrc configuration file before IPv6 is indeed working. If you enable IPv6 without working IPv6 connectivity, your entire relay will remain unused, regardless of whether IPv4 is working.

Dacă totul a funcționat bine, faceți releul Tor accesibil prin IPv6 adăugând o linie de comandă suplimentară la configurația ORPort (exemplu pentru ORPort 9001):

ORPort [IPv6-address]:9001

The location of that line in the configuration file does not matter. You can simply add it next to the first ORPort lines in your torrc file.

Notă: trebuie să specificați în mod explicit adresa IPv6 între paranteze pătrate, nu puteți spune tor să se conecteze prin orice IPv6 (așa cum o faceți pentru IPv4). Dacă aveți o adresă IPv6 globală, ar trebui să o puteți găsi în răspunsul afișat după următoarea comandă:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

Dacă sunteți un releu de ieșire cu conectivitate IPv6, spuneți-i demonului tor să permită ieșirea prin IPv6, astfel încât clienții să poată ajunge la destinații IPv6:

IPv6Exit 1

Note: Tor requires IPv4 connectivity, you can not run a Tor relay on IPv6-only.

8. Menținerea unui releu

Copii de rezervă pentru cheile de identitate Tor

După instalarea inițială și pornirea demonului tor, este bine să faceți o copie de rezervă a cheilor de identitate pe termen lung ale releului. Acestea sunt amplasate în subfolderul „keys” din DataDirectory (faceți pur și simplu o copie a întregului folder și salvați-l într-o locație sigură). Since relays have a ramp-up time it makes sense to back up the identity key to be able to restore your relay's reputation after a disk failure - otherwise you would have to go through the ramp-up phase again.

Locații implicite ale folderului keys :

  • Debian/Ubuntu: /var/lib/tor/keys
  • FreeBSD: /var/db/tor/keys
  • OpenBSD: /var/tor/keys
  • Fedora: /var/lib/tor/keys

Abonați-vă la lista de corespondență anunțată de tor

Aceasta este o listă de e-mail cu trafic foarte redus și veți obține informații despre noile versiuni stabile ale Tor și informații importante despre actualizarea securității: anunțuri tor.

Configurarea notificărilor de întrerupere

Once you set up your relay it will likely run without much work from your side. Dacă ceva nu merge bine, este bine să fiți notificat automat. We recommend you use one of the free services that allow you to check your relay's ORPorts for reachability and send you an email should they become unreachable for whatever reason.

UptimeRobot este unul dintre aceste servicii care vă permit să monitorizați ascultătorii TCP pe porturile arbitrare. Acest serviciu vă poate verifica porturile configurate o dată la 5 minute și vă poate trimite un e-mail în cazul în care procesul de operare se oprește sau nu poate fi găsit. Aceasta verifică doar ascultătorul, dar nu vorbește despre protocolul Tor.

O modalitate bună de a monitoriza un releu pentru starea sa de sănătate este prin verificarea graficelor sale cu lățimea de bandă.

Monitorizarea sănătății sistemului

Pentru a vă asigura că releul dvs. este sănătos și nu este copleșit, este logic să aveți anumite monitorizări de bază ale sistemului pentru a urmări următoarele valori:

  • Lățime de bandă
  • Conexiuni TCP stabilite
  • Memorie
  • Swap
  • CPU

Există multe instrumente pentru monitorizarea acestui tip de date, iar munin este unul dintre ele și este relativ ușor de configurat.

Notă: Nu faceți public graficul de date de monitorizare privată, deoarece acest lucru ar putea ajuta atacatorii să deanonimizeze utilizatorii Tor.

Câteva sfaturi practice:

  • Dacă doriți să publicați statistici de trafic, ar trebui să agregați întregul trafic al releelor pe cel puțin o săptămână, apoi să îl rotunjiți până la cel mai apropiat 10 TiB (terabyte).
  • Raportarea releelor individuale este mai nepotrivită comparativ cu raportarea totală pentru grupurile de relee. În viitor, tor va agrega în mod sigur statisticile de lățime de bandă, astfel încât orice raportare individuală a lățimii de bandă a releului va fi mai puțin sigură decât statisticile tor.
  • Perioadele mai mici sunt mai nepotrivite.
  • Cifrele sunt mai nepotrivite, comparativ cu graficele.
  • Datele în timp real sunt mai nepotrivite comparativ cu datele istorice.
  • Datele detaliate pe categorii (versiunea IP, intrare / ieșire etc.) sunt mai nepotrivite comparativ cu datele generale.

Instrumente

Această secțiune enumeră câteva instrumente pe care le puteți găsi la îndemână ca operator de relee Tor.

  • Nyx: este un instrument Tor Project (anterior componentă) care vă permite să vedeți în timp real date ale releului dvs.

  • vnstat: vnstat este un instrument de linie de comandă care arată cantitatea de date care trec prin conexiunea de rețea. Puteți utiliza, de asemenea, genera imagini PNG care prezintă grafice de trafic. documentație vnstat și ieșirile demo.