1. Aktiviere automatische Software Updates
Eines der wichtigsten Dinge, um dein Relay sicher zu halten, ist die rechtzeitige und idealerweise automatische Installation von Sicherheitsupdates, damit du es nicht vergessen kannst.
Folge den Anweisungen, um automatische Software-Updates für dein Betriebssystem zu aktivieren.
2. Tor installieren
Aktualisiere die Paketdatenbank, bevor du das Paket installierst. Dann rufe apt auf, um es zu installieren:
# apk update
# apk add tor
3. Lyrebird installieren
# apk add lyrebird
4. Bearbeite deine Tor-Konfigurationsdatei
Kopiere die bereitgestellte Datei /etc/tor/torrc.sample nach /etc/tor/torrc und nimm die folgenden Einstellungen vor:
BridgeRelay 1
# Ersetze "TODO1" mit dem Tor-Port deiner Wahl.
# Der Port muss von außen erreichbar sein.
# Vermeide Port 9001, da er üblicherweise mit Tor in Verbindung gebracht wird und Zensoren das Internet nach diesem Port durchsuchen könnten.
ORPort TODO1
ServerTransportPlugin obfs4 exec /usr/bin/lyrebird
# Ersetze "TODO2" durch einen obfs4-Port deiner Wahl.
# Dieser Port muss von außen erreichbar sein und muss sich von dem für ORPort angegebenen unterscheiden.
# Vermeide Port 9001, da er üblicherweise mit Tor in Verbindung gebracht wird und Zensoren das Internet nach diesem Port durchsuchen könnten.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2
# Lokaler Kommunikations-Port zwischen Tor und obfs4. Stelle dies immer auf "auto" ein.
# "Ext" bedeutet "erweitert", nicht "extern". Versuche weder, eine bestimmte Port-Nummer einzustellen, noch auf 0.0.0.0 zu hören.
ExtORPort auto
# Ersetze "<address@email.com>" durch deine E-Mail-Adresse, damit wir dich kontaktieren können, falls es Probleme mit deiner Brücke gibt.
# Dies ist freiwillig, wird aber empfohlen.
ContactInfo <address@email.com>
# Wähle einen Spitznamen für deine Brücke. Dies ist optional.
Nickname PickANickname
Vergiß nicht, die Optionen ORPort, ServerTransportListenAddr, ContactInfo und Spitzname zu ändern.
Beachte, dass sowohl der OR-Anschluss von Tor als auch der obfs4-Anschluss erreichbar sein müssen. Wenn sich deine Brücke hinter einer Firewall oder NAT befindet, stelle sicher, dass beide Ports geöffnet sind. Du kannst unseren Erreichbarkeitstest benutzen, um zu sehen, ob dein obfs4-Port aus dem Internet erreichbar ist.
(Optional) obfs4-Verbindungen zu privilegierten Ports zulassen
Wenn du dich für einen festen obfs4-Port entscheidest, der kleiner als 1024 ist (zum Beispiel 80 oder 443), musst du der Lyrebird-Ausführungsdatei die Berechtigung CAP_NET_BIND_SERVICE zuweisen, damit sie sich ohne Root-Rechte an den Port binden kann.
Installiere die Pakete libcap-setcap und libcap-getcap und gehe dann wie folgt vor:
# setcap cap_net_bind_service=+ep /usr/bin/lyrebird
Du kannst die aktuell zugewiesenen Fähigkeiten abfragen, indem du den Befehl getcap /usr/bin/lyrebird ausführst. Solltest du dich jemals dazu entschließen, einen Port ohne Sonderrechte zu verwenden, denke daran, die Fähigkeit mit setcap -r /usr/bin/lyrebird zu entfernen.
6. Starte Tor
Starte nun den Tor-Dienst.
# rc-service tor start
Wenn der Dienst erfolgreich gestartet wurde, fahre mit dem nächsten Schritt fort.
7. Überwache deine Logs
Um sicherzustellen, dass deine Brücke einwandfrei läuft, solltest du etwa folgende Ausgabe sehen, normalerweise in /var/log/tor/notices.log (Standard) oder /var/log/messages (Syslog):
[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
8. Schlussbemerkungen
Wenn du Probleme beim Einrichten deiner Brücke hast, schau dir unsere Hilfe-Sektion an.
Wenn deine Brücke jetzt läuft, sieh dir die Nachinstallations-Hinweise an.