۱. مطمئن شوید که درگاههای رله دسترسپذیر هستند
اگر درحال استفاده از دیوار آتش هستید، یک سوراخ در دیوار آتش باز کنید تا اتصالات ورودی بتوانند به درگاههایی دسترسی یابند که کاربر برای رلهٔ شما (ORPort) استفاده میکند.
همچنین، مطمئن شوید که به همهٔ اتصالهای خروجی نیز اجازه میهید، به این شکل رلهٔ Tor شما میتواند به دیگر رلههای Tor، سرویسگیرندهها و مقصدها دسترسی داشته باشد.
You can find the specific ORPort TCP port number in the Setup page (in the OS specific sections).
۲. تأیید کنید که رلهٔ شما کار میکند
اگر فایل رویدادنگار شما (syslog) حاوی ورودی زیر پس از شروع daemon Tor شما است، رلهٔ شما باید همانطور که انتظار میرود درحال کار و اجرا باشد:
Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.
حدود ۳ ساعت پس از شروع رلهٔ شما، باید جستجوی رله در درگاه Metrics (معیارها) ظاهر شود.
میتوانید رلهٔ خود را از طریق نام مستعار یا نشانی IP جستجو کنید.
۳. دربارهٔ چرخهٔ عمر رلهٔ Tor بخوانید
مدتی طول میکشد تا ترافیک رله افزایش یابد، این امر بهویژه در مورد رلههای نگهبان بیشتر صدق میکند، اما به میزان کمتری برای رلههای خروج نیز صادق است. برای درک این فرایند، در مورد چرخهٔ عمر یک رلهٔ جدید مطالعه کنید.
۴. مدیریت پیکربندی
اگر قصد دارید بیش از یک رله اجرا کنید، یا که میخواهید یک رله با ظرفیت بالا (چند نمونهٔ Tor به ازاء هر سرور) اجرا کنید، یا میخواهید از ویژگیهای امنیتی قوی مانند Offline Master Keys بدون انجام گامهای اضافی بهصورت دستی استفاده کنید، ممکن است بخواهید برای نگهداری بهتر از مدیریت پیکربندی استفاده کنید.
چندین راهحل مدیریت پیکربندی برای سیستمعاملهای مبتنی بر Unix (Ansible، Puppet، Salt، ...) وجود دارد.
Ansible Role زیر بهطور خاص برای اپراتورهای رلهٔ Tor ساخته شده است و از چندین سیستمعامل پشتیبانی میکند: Ansible Relayor.
۵. مهم: اگر بیشتر از یک نمونه Tor اجرا میکنید
برای جلوگیری از در معرض خطر قراردادن سرویسگیرندههای Tor، هنگام کار با رلههای چندگانه باید یک مقدار MyFamily مناسب تنظیم کنید و یک ContactInfo معتبر در پیکربندی torrc خود داشته باشید.
تنظیم MyFamily به سرویسگیرندههای Tor میگوید کدامین رلههای Tor توسط یک نهاد/اپراتور/سازمانی کنترل میشوند، تا آنکه در چندین موقعیت در یک مدار واحد مورد استفاده قرار نگیرند.
اگر دو رله اجرا میکنید و اثر انگشت آنها AAAAAAAAAA و BBBBBBBB است، باید پیکربندی زیر را برای تنظیم MyFamily:
MyFamily AAAAAAAAAA,BBBBBBBB
به هر دو رله اضافه کنید. برای یافتن اثر انگشت رلهٔ خود، میتوانید هنگام راهاندازی Tor به فایلهای رویدادنگار نگاه انداخته یا فایلی به نام «fingerprint» را در DataDirectory Tor خود پیدا کنید.
بجای اینکه بهصورت دستی انجام دهید، توصیه میکنیم برای اپراتورهای بزرگ، تنظیمات MyFamily را از طریق یک راه حل مدیریت پیکربندی بهصورت خودکار در آورند.
مدیریت دستی MyFamily برای گروههای بزرگ رلهٔ مستعد خطاست و ممکن است سرویسگیرندههای Tor را در معرض خطر قرار دهد.
6. Add firewall rules to protect against DDoS attacks
Configuring your firewall to stop too many concurrent connections has been shown to significantly help deal with DDoS attacks against relays.
Consider implementing one of the following mechanisms:
Note: These are community provided resources.
You should check them carefully before applying them to your system.
Additionally, be aware that these rules have been shown to work for particular attacks that have happened in the past.
Attacks are constantly evolving and will often need new rules, so please stay connected to update these as necessary, either by subscribing to the relevant project or by subscribing to the tor-relays mailing list.
7. Optional: Limiting bandwidth usage (and traffic)
Tor استفاده از پهنای باند را بهصورت پیشفرض محدود نخواهد کرد، ولی از چندین روش برای محدودکردن پهنای باند مورد استفاده و میزان ترافیک پشتیبانی میکند.
اگر میخواهید مطمئن شوید که رلهٔ Tor شما از یک میزان پهنای باند یا ترافیک کل مشخص در هر روز/هفته/ماه عبور نمیکند، این به کار میآید.
گزینههای پیکربندی torrc آمده در ادامه میتواند برای محدودکردن پهنای باند و ترافیک مورد استفاده قرار بگیرد:
- AccountingMax
- AccountingRule
- AccountingStart
- BandwidthRate
- BandwidthBurst
- RelayBandwidthRate
داشتن یک رلهٔ پر سرعت برای بعضی مواقع در ماه نسبت به یک رلهٔ کند در کل ماه ارجخیت دارد.
همچنین مدخل مرتبط با پهنای باند را در پرسشهای متداول مشاهده کنید.
8. Check IPv6 availability
ما همه را تشویق میکنیم IPv6 را روی رلههای خود بهکار اندازند. این برای رلههای نگهبان و خروج بهشدت ارزشمند است.
پیش از بهکار انداختن daemon Tor خود برای استفاده از IPv6، بهعلاوهٔ IPv4 باید برخی از آزمونهای پایهٔ اتصالدهندگی IPv6 را انجام دهید.
خط فرمان آمده در زیر نشانیهای IPv6 مراجع شاخهٔ Tor از سرور شما را پینگ خواهد کرد:
ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.
در انتهای خروجی باید عبارت «OK» را ببینید. اگر اینطور نیست، پیشاز اینکه IPv6 کار کند، IPv6 را در فایل پیکربندی torrc خود بهکار نیندازید.
اگر IPv6 را بدون اتصالدهندگی آمادهبهکار IPv6، بهکار اندازید، کل رلهٔ شما بدون در نظر گرفتن اینکه آیا IPv4 کار میکند یا خیر، بلااستفاده خواهد ماند.
اگر درست کار کرد، مطمئن شوید که رلهٔ شما از طریق IPv6 دسترسپذیر است، این کار با اضافهکردن یک سطر اضافی ORPort به پیکربندی خود قابل انجام است (مثال برای ORPort 9001):
ORPort [IPv6-address]:9001
محل آن سطر در فایل پیکربندی اهمیتی ندارد.
به سادگی میتوانید آن را در کنار اولین سطرهای ORPort در فایل torrc خود اضافه کنید.
توجه: باید بهطور صریح نشانی IPv6 خود را داخل قلاب (کروشه) ذکر کنید، نمیتوانید به Tor بگویید تا به هر IPv6 مقید شود (مانند آنچه برای IPv4 انجام میدهید).
اگر یک نشانی IPv6 سراسری دارید، باید قادر باشید تا آن را در خروجی فرمان زیر پیدا کنید:
ip -6 addr | grep global | sed 's/inet6//;s#/.*##'
اگر یک رلهٔ خروج با اتصالدهندگی IPv6 هستید، از طریق daemon Tor خروج، IPv6 را مجاز کنید تا سرویسگیرندهها بتوانند به مقصدهای IPv6 دسترسی یابند:
IPv6Exit 1
توجه: Tor به اتصالدهندگی IPv4 نیاز دارد، شما نمیتوانید رلهٔ Tor را فقط روی IPv6 اجرا کنید.
9. Maintaining a relay
پشتیبانگیری از کلیدهای هویت Tor
بعد از نصب اولیه و شروع daemon Tor، ایدهٔ خوبی است تا از کلیدهای هویت بلندمدت خودتان رلهٔ Tor پشتیبان بگیرید.
در زیرپوشهٔ «کلیدها» (keys) در DataDirectory شما (یک کپی از کل پوشه بگیرید و در یک جای امن ذخیره کنید) قرار گرفته است.
از آنجایی که رلهها سیر زمانی پلکانی دارند، منطقی است که از کلید هویت یک نسخهٔ پشتیبان تهیه کرده تا بتوانید اعتبار رلهٔ خود را پس از خرابی دیسک بازیابی کنید - در غیر این صورت باید دوباره دورهٔ سیر پلکانی را طی کنید.
فقط در صورتی این کار را انجام دهید که مکان بسیار امنی برای کلیدهای خود داشته باشید، که اگر دزدیده شوند، این کلیدها از نظر تئوری میتوانند رمزگشایی یا جعل هویت ترافیک (عبوری) را مجاز کنند.
موقعیت پیشفرض پوشهٔ کلیدها:
- Debian/Ubuntu:
/var/lib/tor/keys
- FreeBSD:
/var/db/tor/keys
- OpenBSD:
/var/tor/keys
- Fedora:
/var/lib/tor/keys
اشتراک در فهرست پستسپاری اعلان-tor
این یک فهرست پستسپاری با ترافیک بسیار پایین است و شما اطلاعاتی دربارهٔ انتشارهای جدید پایدار Tor و اطلاعات بهروزرسانی امنیتی مهمی را دریافت میکنید: اعلان-Tor.
تنظیم اعلانهای قطعی
Once you have set up your relay, it will likely run without much work from your side.
If something goes wrong, it is good to get notified automatically.
We recommend using Tor Weather, a notification service developed by the Tor Project.
It helps relay operators get notified when their relays or bridges are offline, as well as for other incidents.
Another option is to use one of the free services that allow you to check your relay's ORPorts for reachability and send you an email should they become unreachable for any reason.
ربات زمان بهکار یکی از این خدمات است که به شما اجازه میدهد تا بر شنوندگان پروتکل هدایت انتقال (TCP) درگاههای قراردادی را پایش کنید.
این خدمات میتواند درگاههای پیکربندیشدهٔ شما را هر ۵ دقیقه یکبار بررسی کند تا اگر پردازش Tor شما از بین رفت یا از دسترس خارج شد به شما یک ایمیل ارسال کند.
این تنها برای شنونده بررسی میشود اما با پروتکل Tor صحبت نمیکند.
یک روش خوب برای پایش یک رله برای وضعیت سلامتی آن، نگاه انداختن به نمودارهای پهنای باند آن است.
پایش سلامت سیستم
برای اطمینان از سلامت رلهٔ خود و در هم نشکستن، داشتن یک سامانهٔ پایش مقدماتی برای بررسی این معیارها ایده خوبی است:
- پهنای باند
- اتصالهای TCP برقرار شده
- حافظه
- Swap
- CPU
ابزارهای زیادی برای پایش اینگونه دادهها وجود دارند. یکی از آنها munin است که نصب آن نسبتاً ساده است.
توجه: نمودارهای دادهٔ (مختص) پایش خصوصی خود را عمومی نکنید چراکه این میتواند منجر به از بینبردن ناشناسسازی کاربران Tor شود.
چند توصیهٔ عملی:
- اگر میخواهید آمار ترافیک خود را منشتر کنید، باید تمام ترافیک رلهٔ خود را دستکم در یک هفته گذشته جمعآوری کرده، و سپس آن را به نزدیکترین ۱۰ ترابایت گرد کنید.
- گزارشدادن رلههای منفرد بدتر از گزارشدادن جمعی برای گروههایی از رلهها است. در آینده، Tor بهصورت امن تمام آمارهای پهنای باند را جمعآوری خواهد کرد تا گزارشدادن پهنای باند هر رلهٔ منفرد امنیت کمتری از آمارهای Tor خواهد داشت.
- دورههای کوچکتر بدتر هستند.
- اعداد بدتر از نمودار هستند.
- دادهٔ بیدرنگ بدتر از دادهٔ تاریخی است.
- دادهٔ در دستهبندیها (نسخهٔ IP، ورود/خروج، غیره.) بدتر از کل داده است.
ابزار
این بخش چندین ابزار را که ممکن است برای شما بهعنوان اپراتور رلهٔ Tor به کار بیاید را فهرست کردهایم.
Nyx یک ابزار پروژهٔ Tor (سابقاً arm) است که به شما اجازه میدهد دادهٔ رلهٔ خود را بیدرنگ مشاهده کنید.
vnstat: vnstat یک ابزار خط فرمان است که میزان دادهٔ عبوری از اتصال شبکهٔ شما را نشان میدهد.
میتوانید از آن برای ایجادکردن تصاویر PNG برای نمایش نمودارهای ترافیک استفاده کنید. مستندات vnstat و خروجی نسخهٔ نمایشی.