1. Увімкніть автоматичне оновлення програмного забезпечення

Однією з найважливіших речей для забезпечення безпеки вашого ретранслятора є своєчасне й, в ідеалі, автоматичне встановлення оновлень безпеки, щоб ви не забули про це. Дотримуйтесь інструкцій, щоб увімкнути автоматичне оновлення програмного забезпечення для вашої операційної системи.

2. Налаштуйте репозиторій проекту Tor

Configuring the Tor Project's package repository for Debian/Ubuntu is recommended and documented on Support portal. Please follow those instructions before proceeding.

Примітка: користувачам Ubuntu потрібно отримати Tor зі сховища проекту Tor.

3. Встановіть Tor

Переконайтеся, що ви оновили базу даних пакетів перед встановленням пакета, а потім викликайте apt, щоб встановити його:

# apt update
# apt install tor

4. Встановіть obfs4proxy

У Debian пакет obfs4proxy доступний у нестабільному, тестовому та стабільному режимах. На Ubuntu, bionic, cosmic, disco, eoan і focal є пакет. Якщо ви використовуєте будь-який із них, sudo apt-get install obfs4proxy має працювати.

Якщо ні, ви можете зібрати його з вихідного коду.

5. Відредагуйте конфігураційний файл Tor, який зазвичай знаходиться за адресою /etc/tor/torrc, і замініть його вміст на:

BridgeRelay 1

# Замініть "TODO1" портом Tor на ваш вибір.
# Цей порт має бути доступним ззовні.
# Уникайте порту 9001, оскільки він зазвичай асоціюється з Tor, і цензори можуть шукати цей порт в Інтернеті.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Замініть "TODO2" портом obfs4 на ваш вибір.
# Цей порт має бути доступним іззовні та відрізнятися від зазначеного для ORPort.
# Уникайте порту 9001, оскільки він зазвичай асоціюється з Tor, і цензори можуть шукати цей порт в Інтернеті.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Порт локального зв'язку між Tor і obfs4. Завжди встановлюйте значення "авто".
# "Ext" означає "розширений", а не "зовнішній". Не намагайтеся встановити певний номер порту та не слухайте 0.0.0.0.
ExtORPort auto

# Замінити &quot;<address@email.com> &quot; з вашою електронною адресою, щоб ми могли зв’язатися з вами, якщо виникнуть проблеми з вашим мостом.
# Це необов’язково, але рекомендується.
Контактна інформація<address@email.com>

# Виберіть псевдонім, який вам подобається для вашого мосту. Це необов&#39;язково.
Nickname PickANickname

Не забудьте змінити параметри ORPort, ServerTransportListenAddr, ContactInfo і Nickname.

Зауважте, що як порт OR Tor, так і порт obfs4 мають бути доступними. Якщо ваш міст знаходиться за брандмауером або NAT, переконайтеся, що обидва порти відкриті. Ви можете скористатися нашим тестом доступності, щоб перевірити, чи доступний ваш порт obfs4 з Інтернету.

(Необов'язково) Налаштуйте systemd, щоб дозволити прив'язування obfs4 на привілейованих портах

Якщо ви вирішите використовувати фіксований порт obfs4, менший за 1024 (наприклад, 80 або 443), вам потрібно буде налаштувати systemd і надати obfs4 CAP_NET_BIND_SERVICE можливості для зв’язування порту з не-root користувачем:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

Щоб обійти посилення systemd, вам також потрібно буде відредагувати та змінити конфігурацію.

Виконайте команду:

sudo systemctl edit tor@.service tor@default.service

У редакторі введіть наступний текст, потім збережіть і вийдіть.

[Service]
NoNewPrivileges=no

У другому редакторі, який з’явиться, введіть той самий текст, потім збережіть і вийдіть.

[Service]
NoNewPrivileges=no

Якщо все працювало правильно, тепер у вас буде два файли /etc/systemd/system/tor@.service.d/override.conf і /etc/systemd/system/tor@default.service.d/override.conf `, що містить введений вами текст.

Тепер перезапустіть службу Tor:

sudo service tor restart

Немає необхідності запускати systemctl daemon-reload, оскільки systemctl edit робить це автоматично. Щоб отримати докладнішу інформацію, перегляньте квиток 18356.

6. Перезапустіть Tor

Увімкніть і запустіть tor:

# systemctl enable --now tor.service

Або перезапустіть його, якщо він уже був запущений, щоб конфігурації вступили в силу:

# systemctl restart tor.service

7. Контролюйте свої журнали

Щоб підтвердити, що ваш міст працює без проблем, ви повинні побачити щось на зразок цього (зазвичай у /var/log/syslog або запустіть # journalctl -e -u tor@default):

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. Заключні примітки

Якщо у вас виникли проблеми з налаштуванням мосту, перегляньте наш розділ довідки. Якщо ваш міст зараз працює, перегляньте примітки після встановлення.