1. Включите автоматическое обновление программ
Одно из главных условий защиты узла – своевременно устанавливать обновления безопасности. Лучше делать это автоматически, чтобы не забыть.
Следуйте инструкциям по включению автоматического обновления программ для вашей операционной системы.
2. Установите Tor
Убедитесь, что обновили пакеты, потом устанавливайте через apt:
# apk update
# apk add tor
3. Install Lyrebird
# apk add lyrebird
4. Edit your Tor config file
Copy the provided /etc/tor/torrc.sample to /etc/tor/torrc and set the following options:
BridgeRelay 1
# Замените "TODO1" портом Tor по своему выбору.
# Этот порт должен быть доступен извне.
# Избегайте порта 9001. Он обычно ассоциируется с Tor. Цензоры могут знать об этом, просматривая Интернет.
ORPort TODO1
ServerTransportPlugin obfs4 exec /usr/bin/lyrebird
# Замените "TODO2" портом obfs4 по своему выбору.
# Этот порт должен быть доступен извне и отличаться от порта, указанного для ORPort.
# Избегайте порта 9001. Он обычно ассоциируется с Tor. Цензоры могут знать об этом, просматривая Интернет.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2
# Местный коммуникационный порт между Tor и obfs4. Всегда выбирайте значение "auto".
# "Ext" значит "расширенный", а не "внешний". Не пытайтесь установить конкретный номер порта или слушать 0.0.0.0.
ExtORPort auto
# Замените "<address@email.com>" вашим адресом email, чтобы мы могли связаться с вами в случае проблем с вашим мостом.
# Это необязательно, но желательно.
ContactInfo <address@email.com>
# Выберите название для своего моста. (Это необязательно).
Nickname PickANickname
Не забудьте изменить опции ORPort, ServerTransportListenAddr, ContactInfo и Nickname.
Обратите внимание: и OR-порт Tor, и порт obfs4 должны быть доступны. Если ваш мост находится за межсетевым экраном или NAT, убедитесь, что оба порта открыты. Чтобы проверить, доступен ли obfs4-порт из Интернета, можете использовать наш тест.
(Optional) Allow obfs4 binding to privileged ports
If you decide to use a fixed obfs4 port smaller than 1024 (for example 80 or 443), you will need to give the Lyrebird executable CAP_NET_BIND_SERVICE capabilities so it can bind to the port without root privileges.
Install the packages libcap-setcap and libcap-getcap, then do this:
# setcap cap_net_bind_service=+ep /usr/bin/lyrebird
You can query the currently assigned capabilities by running getcap /usr/bin/lyrebird. Should you ever decide to use an unprivileged port, remember to remove the capability with setcap -r /usr/bin/lyrebird.
6. Запустите Tor
Now start the Tor service.
# rc-service tor start
If the service starts successfully, proceed to the next step.
7. Следите за логами
To confirm your bridge is running with no issues, you should see something like this, usually in /var/log/tor/notices.log (default) or /var/log/messages (syslog):
[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
8. В завершение
Если у вас проблемы с настройкой моста, обратите внимание на наш раздел помощи.
Если ваш мост работает прямо сейчас, загляните в примечания после установки.