1. 啟用軟體自動更新

保持中繼安全最重要的事情之一是及時安裝安全更新,最好是自動安裝,這樣您就不會忘記它。 依照說明為您的作業系統啟用 automatic software updates

2. 安裝Tor

在安裝套件之前,請確保更新套件資料庫,然後呼叫 apt 進行安裝:

# apk update
# apk add tor

3. 安裝 Lyrebird

# apk add lyrebird

4. 編輯您的 Tor 設定檔

將提供的 /etc/tor/torrc.sample 複製為 /etc/tor/torrc,並設定以下選項:

BridgeRelay 1

# 將"TODO1"替換成你選擇的Tor埠。
# 該連接埠必須可從外部存取。
# 避免使用連接埠 9001,因為它通常與 Tor 相關聯,並且審查人員可能會在互聯網上掃描該連接埠。
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/lyrebird

# 將“TODO2”替換為您選擇的 obfs4 連接埠。
# 此連接埠必須可從外部訪問,並且必須與為 ORPort 指定的連接埠不同。
# 避免使用連接埠 9001,因為它通常與 Tor 相關聯,並且審查人員可能會在互聯網上掃描該連接埠。
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Tor 和 obfs4 之間的本機通訊連接埠。  始終將其設為“自動”。
# “Ext”的意思是“擴展”,而不是“外部”。  不要嘗試設定特定的連接埠號,也不要監聽 0.0.0.0。
ExtORPort auto

# 將「<address@email.com>」替換為您的電子郵件地址,以便我們在您的網橋出現問題時可以與您聯絡。
# 這是可選的,但受到鼓勵。
ContactInfo <address@email.com>

# 為您的橋樑選擇您喜歡的暱稱。  這是可選的。
Nickname PickANickname

不要忘記更改 ORPortServerTransportListenAddrContactInfoNickname 選項。

請注意,Tor 的 OR 端口及其 obfs4 端口都必須可通。 如果您的橋接位於防火牆或 NAT 之後,請確保打開這兩個端口。可利用可達性測試 來查看從網際網路可否訪問您的 obfs4 端口。

(選用)允許 obfs4 綁定到特權連接埠

如果您打算使用小於 1024 的固定 obfs4 連接埠(例如 80 或 443),就需要為 Lyrebird 執行檔授予 CAP_NET_BIND_SERVICE 權能,使其能在沒有 root 權限的情況下綁定該連接埠。

安裝 libcap-setcaplibcap-getcap 套件,然後執行以下指令:

# setcap cap_net_bind_service=+ep /usr/bin/lyrebird

您可以執行 getcap /usr/bin/lyrebird 查詢目前已指派的權能。若日後改用非特權連接埠,記得透過 setcap -r /usr/bin/lyrebird 移除權能。

6. 啟用 Tor

現在啟動 Tor 服務。

# rc-service tor start

若服務成功啟動,請繼續下一步。

7. 監看歷程記錄

若要確認您的橋接運作正常,您應該會在 /var/log/tor/notices.log(預設)或 /var/log/messages(syslog)中看到類似以下的訊息:

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. 最後備註

如果您在設定橋接時遇到問題,請查看 our help section。 如果您的網橋現在正在運行,請查看安裝後註釋