1. Уверите се да су релејски портови доступни

Ако користите фајрвол, отворите рупу у вашем фајрволу тако да долазне везе могу доћи до портова које ћете користити за ваш релеј (ORPort).

Такође, уверите се да дозвољавате све излазне везе, тако да ваш релеј може да досегне друге Тор релеје, клијенте и одредишта.

Можете пронаћи специфичан ORPort TCP број порта на страници за подешавање (у одељцима специфичним за ОС).

2. Проверите да ли ваш релеј ради

Ако ваш лог фајл (syslog) садржи следећи унос након покретања вашег тор демона, ваш релеј би требало да ради како се очекује:

Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.

Око 3 сата након што покренете ваш релеј, требало би да се појави на Relay Search на Metrics порталу. Можете претраживати ваш релеј користећи ваш надимак или IP адресу.

3. Прочитајте о животном циклусу Тор релеја

Потребно је неко време да се саобраћај релеја повећа, ово је посебно тачно за чувар релеје, али у мањој мери и за излазне релеје. Да бисте разумели овај процес, прочитајте о животном циклусу новог релеја.

4. Управљање конфигурацијом

Ако планирате да покренете више од једног релеја, или желите да покренете релеј великог капацитета (више Тор инстанци по серверу) или желите да користите јаке безбедносне функције као што су Offline Master Keys без ручног извршавања додатних корака, можда ћете желети да користите управљање конфигурацијом за боље одржавање.

Постоји више решења за управљање конфигурацијом за Unix-базиране оперативне системе (Ansible, Puppet, Salt, ...).

Следећа Ansible улога је специјално направљена за Тор релеј операторе и подржава више оперативних система: Ansible Relayor.

5. Важно: ако покрећете више од једне Тор инстанце

Да бисте избегли ризик за Тор клијенте, када управљате са више релеја морате поставити одговарајућу MyFamily вредност и имати важећи ContactInfo у вашем torrc конфигурационом фајлу. Подешавање MyFamily једноставно говори Тор клијентима који Тор релеји су под контролом једне ентитета/оператора/организације, тако да се не користе на више позиција у једном кругу.

Ако покрећете два релеја и они имају отиске прстију AAAAAAAAAA и BBBBBBBB, додали бисте следећу конфигурацију да подесите MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

на оба релеја. Да бисте пронашли отисак прста вашег релеја, можете погледати у лог фајлове када се тор покреће или пронаћи фајл под називом "fingerprint" у вашем тор DataDirectory.

Уместо да то радите ручно, за велике операторе препоручујемо да аутоматизујете подешавање MyFamily преко решења за управљање конфигурацијом. Ручно управљање MyFamily за велике групе релеја је склоно грешкама и може довести Тор клијенте у ризик.

6. Додајте правила заштитног зида за заштиту од DDoS напада

Конфигурисање вашег заштитног зида да заустави превише истовремених веза показало се као значајна помоћ у суочавању са DDoS нападима на релеје.

Размотрите примену једног од следећих механизама:

• https://github.com/toralf/torutils: Ако желите скрипту за примену.
• https://github.com/Enkidu-6/tor-ddos: Једноставан сет скрипти за примену.
• https://github.com/steinex/tor-ddos: Ако желите једноставнији приступ без скрипти и ipset-а.

Напомена: Ово су ресурси које пружа заједница. Требало би их пажљиво проверити пре него што их примените на свој систем. Поред тога, будите свесни да су ова правила показала да раде за одређене нападе који су се десили у прошлости. Напади се стално развијају и често ће бити потребна нова правила, па останите повезани како бисте их ажурирали по потреби, било претплатом на релевантни пројекат или претплатом на tor-relays мејлинг листу.

7. Опционо: Ограничење коришћења пропусног опсега (и саобраћаја)

Тор неће ограничити своје коришћење пропусног опсега по подразумеваном, али подржава више начина за ограничавање коришћеног пропусног опсега и количине саобраћаја. Ово може бити корисно ако желите да осигурате да ваш Тор релеј не прекорачи одређену количину пропусног опсега или укупног саобраћаја по дану/недељи/месецу. Следеће torrc конфигурационе опције могу се користити за ограничавање пропусног опсега и саобраћаја:

• AccountingMax
• AccountingRule
• AccountingStart
• BandwidthRate
• BandwidthBurst
• RelayBandwidthRate

Брз релеј за неко време у месецу је пожељнији од спорог релеја за цео месец.

Такође погледајте унос о пропусном опсегу у FAQ.

8. Проверите доступност IPv6

Подстичемо све да омогуће IPv6 на својим релејима. Ово је посебно вредно на излазним и чувар релејима.

Пре него што омогућите вашем тор демону да користи IPv6 поред IPv4, требало би да урадите неке основне тестове повезаности за IPv6.

Следећа командна линија ће пинговати IPv6 адресе Тор директоријумских власти са вашег сервера:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

На крају излаза требало би да видите "OK." ако то није случај, не омогућавајте IPv6 у вашем torrc конфигурационом фајлу пре него што IPv6 заиста ради. Ако омогућите IPv6 без функционалне IPv6 повезаности, цео ваш релеј ће остати неискоришћен, без обзира на то да ли IPv4 ради.

Ако је све прошло у реду, учините ваш Тор релеј доступним преко IPv6 додавањем додатне ORPort линије у вашу конфигурацију (пример за ORPort 9001):

ORPort [IPv6-address]:9001

Локација те линије у конфигурационом фајлу није битна. Можете је једноставно додати поред првих ORPort линија у вашем torrc фајлу.

Напомена: Морате експлицитно навести вашу IPv6 адресу у угластим заградама, не можете рећи тору да се веже за било који IPv6 (као што радите за IPv4). Ако имате глобалну IPv6 адресу, требало би да је пронађете у излазу следеће команде:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

Ако сте излазни релеј са IPv6 повезаношћу, реците вашем тор демону да дозволи излаз преко IPv6 тако да клијенти могу доћи до IPv6 дестинација:

IPv6Exit 1

Напомена: Тор захтева IPv4 повезаност, не можете покренути Тор релеј само на IPv6.

9. Одржавање релеја

Резервна копија Тор идентитетских кључева

Након ваше почетне инсталације и покретања тор демона, добра је идеја да направите резервну копију дугорочних идентитетских кључева вашег релеја. Они се налазе у подфолдеру "keys" вашег DataDirectory (једноставно направите копију целог фолдера и сачувајте је на сигурном месту). Пошто релеји имају време за убрзање, има смисла направити резервну копију идентитетског кључа како бисте могли да вратите репутацију вашег релеја након квара диска - у супротном бисте морали поново проћи кроз фазу убрзања. Урадите ово само ако имате веома сигурно место за ваше кључеве јер, ако буду украдени, ови кључеви би теоретски могли омогућити дешифровање саобраћаја или лажно представљање.

Подразумеване локације фолдера са кључевима:

• Debian/Ubuntu: /var/lib/tor/keys
• FreeBSD: /var/db/tor/keys
• OpenBSD: /var/tor/keys
• Fedora: /var/lib/tor/keys

Претплатите се на tor-announce мејлинг листу

Ово је веома ниско саобраћајна мејлинг листа и добићете информације о новим стабилним тор издањима и важним безбедносним ажурирањима: tor-announce.

Подешавање обавештења о прекидима

Када подесите свој релеј, вероватно ће радити без много посла са ваше стране. Ако нешто пође по злу, добро је да будете аутоматски обавештени. Препоручујемо коришћење Tor Weather, услуге обавештавања коју је развио Тор пројекат. Помаже оператерима релеја да буду обавештени када су њихови релеји или мостови ван мреже, као и за друге инциденте.

Друга опција је да користите једну од бесплатних услуга које вам омогућавају да проверите доступност ORPort-ова вашег релеја и пошаљете вам е-пошту ако постану недоступни. UptimeRobot је једна од тих услуга која вам омогућава да надгледате TCP слушаоце на произвољним портовима. Ово проверава само слушаоца, али не говори Тор протокол.

Добар начин да надгледате релеј за његово здравствено стање је да погледате његове графиконе пропусног опсега.

Надгледање здравља система

Да бисте осигурали да је ваш релеј здрав и да није преоптерећен, има смисла имати основно надгледање система како бисте пратили следеће метрике:

• Пропусни опсег
• Успостављене TCP везе
• Меморија
• Swap
• CPU

Постоји много алата за надгледање оваквих података, munin је један од њих и релативно је лак за подешавање.

Напомена: Не правите ваше приватне графиконе података о надгледању јавним јер би то могло помоћи нападачима у деанонимизацији Тор корисника.

Неке практичне савете:

• Ако желите да објавите статистику саобраћаја, требало би да агрегирате саобраћај ваших релеја током најмање једног дана или да користите веће прозоре агрегације за пропусни опсег ако је то изводљиво и да комбинујете графиконе/статистику за више релеја где је то могуће.
• Извештавање појединачних релеја је горе него извештавање укупних података за групе релеја. У будућности, тор ће безбедно агрегирати статистику пропусног опсега, тако да ће било које појединачно извештавање о пропусном опсегу релеја бити мање безбедно од тор статистике.
• Мањи периоди су гори.
• Бројеви су гори од графикона.
• Подаци у реалном времену су гори од историјских података.
• Подаци у категоријама (IP верзија, улаз/излаз, итд.) су гори од укупних података.

Алатке

Овај одељак наводи неколико алатки које би вам могле бити корисне као Тор релеј оператору.

• Nyx: је алатка Тор пројекта (раније arm) која вам омогућава да видите податке у реалном времену вашег релеја.

• vnstat: vnstat је алатка командне линије која показује количину података који пролазе кроз вашу мрежну везу. Такође је можете користити за генерисање PNG слика које показују графиконе саобраћаја. vnstat документација и демо излаз.