‏۱. مطمئن شوید که درگاه‌های رله دسترس‌پذیر هستند

اگر درحال استفاده از دیوار آتش هستید، یک سوراخ در دیوار آتش باز کنید تا اتصالات ورودی بتوانند به درگاه‌هایی دسترسی یابند که کاربر برای رلهٔ شما (ORPort) استفاده می‌کند.

همچنین، مطمئن شوید که به همهٔ اتصال‌های خروجی نیز اجازه می‌هید، به این شکل رلهٔ Tor شما می‌تواند به دیگر رله‌های Tor، سرویس‌گیرنده‌ها و مقصد‌ها دسترسی داشته باشد.

You can find the specific ORPort TCP port number in the Setup page (in the OS specific sections).

۲. تأیید کنید که رلهٔ شما کار می‌کند

اگر فایل رویدادنگار شما (syslog) حاوی ورودی زیر پس از شروع daemon‏ Tor شما است، رلهٔ شما باید همان‌طور که انتظار می‌رود درحال کار و اجرا باشد:

Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.

حدود ۳ ساعت پس از شروع رلهٔ شما، باید جستجوی رله در درگاه Metrics (معیارها) ظاهر شود. می‌توانید رلهٔ خود را از طریق نام مستعار یا نشانی IP جستجو کنید.

۳. دربارهٔ چرخهٔ عمر رلهٔ Tor بخوانید

مدتی طول می‌کشد تا ترافیک رله افزایش یابد، این امر به‌ویژه در مورد رله‌های نگهبان بیشتر صدق می‌کند، اما به میزان کمتری برای رله‌های خروج نیز صادق است. برای درک این فرایند، در مورد چرخهٔ عمر یک رلهٔ جدید مطالعه کنید.

۴. مدیریت پیکربندی

اگر قصد دارید بیش از یک رله اجرا کنید، یا که می‌خواهید یک رله با ظرفیت بالا (چند نمونهٔ Tor به ازاء هر سرور) اجرا کنید، یا می‌خواهید از ویژگی‌های امنیتی قوی مانند Offline Master Keys بدون انجام گام‌های اضافی به‌صورت دستی استفاده کنید، ممکن است بخواهید برای نگهداری بهتر از مدیریت پیکربندی استفاده کنید.

چندین راه‌حل مدیریت پیکربندی برای سیستم‌عامل‌های مبتنی بر Unix (Ansible، Puppet، Salt، ...) وجود دارد.

Ansible Role زیر به‌طور خاص برای اپراتورهای رلهٔ Tor ساخته شده است و از چندین سیستم‌عامل پشتیبانی می‌کند: Ansible Relayor.

۵. مهم: اگر بیشتر از یک نمونه Tor اجرا می‌کنید

برای جلوگیری از در معرض خطر قراردادن سرویس‌گیرنده‌های Tor، هنگام کار با رله‌های چندگانه باید یک مقدار MyFamily مناسب تنظیم کنید و یک ContactInfo معتبر در پیکربندی torrc خود داشته باشید. تنظیم MyFamily به سرویس‌گیرنده‌های Tor می‌گوید کدامین رله‌های Tor توسط یک نهاد/اپراتور/سازمانی کنترل می‌شوند، تا آنکه در چندین موقعیت در یک مدار واحد مورد استفاده قرار نگیرند.

اگر دو رله اجرا می‌کنید و اثر انگشت آن‌ها AAAAAAAAAA و BBBBBBBB است، باید پیکربندی زیر را برای تنظیم MyFamily:

MyFamily AAAAAAAAAA,BBBBBBBB

به هر دو رله اضافه کنید. برای یافتن اثر انگشت رلهٔ خود، می‌توانید هنگام راه‌اندازی Tor به فایل‌های رویدادنگار نگاه انداخته یا فایلی به نام «fingerprint» را در DataDirectory‏ Tor خود پیدا کنید.

بجای اینکه به‌صورت دستی انجام دهید، توصیه می‌کنیم برای اپراتورهای بزرگ، تنظیمات MyFamily را از طریق یک راه حل مدیریت پیکربندی به‌صورت خودکار در آورند. مدیریت دستی MyFamily برای گروه‌های بزرگ رلهٔ مستعد خطاست و ممکن است سرویس‌گیرنده‌های Tor را در معرض خطر قرار دهد.

6. Add firewall rules to protect against DDoS attacks

Configuring your firewall to stop too many concurrent connections has been shown to significantly help deal with DDoS attacks against relays.

Consider implementing one of the following mechanisms:

• https://github.com/toralf/torutils: If you would like a script to deploy.
• https://github.com/Enkidu-6/tor-ddos: A simple set of scripts to deploy.
• https://github.com/steinex/tor-ddos: If you would like a more simpler approach without scripts and ipset.

Note: These are community provided resources. You should check them carefully before applying them to your system. Additionally, be aware that these rules have been shown to work for particular attacks that have happened in the past. Attacks are constantly evolving and will often need new rules, so please stay connected to update these as necessary, either by subscribing to the relevant project or by subscribing to the tor-relays mailing list.

7. Optional: Limiting bandwidth usage (and traffic)

Tor استفاده از پهنای باند را به‌صورت پیش‌فرض محدود نخواهد کرد، ولی از چندین روش برای محدود‌کردن پهنای باند مورد استفاده و میزان ترافیک پشتیبانی می‌کند. اگر می‌خواهید مطمئن شوید که رلهٔ Tor شما از یک میزان پهنای باند یا ترافیک کل مشخص در هر روز/هفته/ماه عبور نمی‌کند، این به کار می‌آید. گزینه‌های پیکربندی torrc آمده در ادامه می‌تواند برای محدود‌کردن پهنای باند و ترافیک مورد استفاده قرار بگیرد:

• AccountingMax
• AccountingRule
• AccountingStart
• BandwidthRate
• BandwidthBurst
• RelayBandwidthRate

داشتن یک رلهٔ پر سرعت برای بعضی مواقع در ماه نسبت به یک رلهٔ کند در کل ماه ارجخیت دارد.

همچنین مدخل مرتبط با پهنای باند را در پرسش‌های متداول مشاهده کنید.

8. Check IPv6 availability

ما همه را تشویق می‌کنیم IPv6 را روی رله‌های خود به‌کار اندازند. این برای رله‌های نگهبان و خروج به‌شدت ارزشمند است.

پیش از به‌کار انداختن daemon‏ Tor خود برای استفاده از IPv6، به‌علاوهٔ IPv4 باید برخی از آزمون‌های پایهٔ اتصال‌دهندگی IPv6 را انجام دهید.

خط فرمان آمده در زیر نشانی‌های IPv6 مراجع شاخهٔ Tor از سرور شما را پینگ خواهد کرد:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

در انتهای خروجی باید عبارت «OK» را ببینید. اگر این‌طور نیست، پیش‌از اینکه IPv6 کار کند، IPv6 را در فایل پیکربندی torrc خود به‌کار نیندازید. اگر IPv6 را بدون اتصال‌دهندگی آماده‌به‌کار IPv6، به‌کار اندازید، کل رلهٔ شما بدون در نظر گرفتن اینکه آیا IPv4 کار می‌کند یا خیر، بلااستفاده خواهد ماند.

اگر درست کار کرد، مطمئن شوید که رلهٔ شما از طریق IPv6 دسترس‌پذیر است، این کار با اضافه‌کردن یک سطر اضافی ORPort به پیکربندی خود قابل انجام است (مثال برای ORPort 9001):

ORPort [IPv6-address]:9001

محل آن سطر در فایل پیکربندی اهمیتی ندارد. به سادگی می‌توانید آن را در کنار اولین سطرهای ORPort در فایل torrc خود اضافه کنید.

توجه: باید به‌طور صریح نشانی IPv6 خود را داخل قلاب (کروشه) ذکر کنید، نمی‌توانید به Tor بگویید تا به هر IPv6 مقید شود (مانند آنچه برای IPv4 انجام می‌دهید). اگر یک نشانی IPv6 سراسری دارید، باید قادر باشید تا آن را در خروجی فرمان زیر پیدا کنید:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

اگر یک رلهٔ خروج با اتصال‌دهندگی IPv6 هستید، از طریق daemon‏ Tor خروج، IPv6 را مجاز کنید تا سرویس‌گیرنده‌ها بتوانند به مقصدهای IPv6 دسترسی یابند:

IPv6Exit 1

توجه: Tor به اتصال‌دهندگی IPv4 نیاز دارد، شما نمی‌توانید رلهٔ Tor را فقط روی IPv6 اجرا کنید.

9. Maintaining a relay

پشتیبان‌گیری از کلیدهای هویت Tor

بعد از نصب اولیه و شروع daemon‏ Tor، ایدهٔ خوبی است تا از کلیدهای هویت بلندمدت خودتان رلهٔ Tor پشتیبان بگیرید. در زیرپوشهٔ «کلیدها» (keys) در DataDirectory شما (یک کپی از کل پوشه بگیرید و در یک جای امن ذخیره کنید) قرار گرفته است. از آن‌جایی که رله‌ها سیر زمانی پلکانی دارند، منطقی است که از کلید هویت یک نسخهٔ پشتیبان تهیه کرده تا بتوانید اعتبار رلهٔ خود را پس از خرابی دیسک بازیابی کنید - در غیر این صورت باید دوباره دورهٔ سیر پلکانی را طی کنید. فقط در صورتی این کار را انجام دهید که مکان بسیار امنی برای کلیدهای خود داشته باشید، که اگر دزدیده شوند، این کلیدها از نظر تئوری می‌توانند رمزگشایی یا جعل هویت ترافیک (عبوری) را مجاز کنند.

موقعیت پیش‌فرض پوشهٔ کلیدها:

• Debian/Ubuntu: /var/lib/tor/keys
• FreeBSD: /var/db/tor/keys
• OpenBSD: /var/tor/keys
• Fedora: /var/lib/tor/keys

اشتراک در فهرست پست‌سپاری اعلان-tor

این یک فهرست پست‌سپاری با ترافیک بسیار پایین است و شما اطلاعاتی دربارهٔ انتشارهای جدید پایدار Tor و اطلاعات به‌روزرسانی امنیتی مهمی را دریافت می‌کنید: اعلان-Tor.

تنظیم اعلان‌های قطعی

Once you have set up your relay, it will likely run without much work from your side. If something goes wrong, it is good to get notified automatically. We recommend using Tor Weather, a notification service developed by the Tor Project. It helps relay operators get notified when their relays or bridges are offline, as well as for other incidents.

Another option is to use one of the free services that allow you to check your relay's ORPorts for reachability and send you an email should they become unreachable for any reason. ربات زمان به‌کار یکی از این خدمات است که به شما اجازه می‌دهد تا بر شنوندگان پروتکل هدایت انتقال (TCP) درگاه‌های قراردادی را پایش کنید. این خدمات می‌تواند درگاه‌های پیکربندی‌شدهٔ شما را هر ۵ دقیقه یکبار بررسی کند تا اگر پردازش Tor شما از بین رفت یا از دسترس خارج شد به شما یک ایمیل ارسال کند. این تنها برای شنونده بررسی می‌شود اما با پروتکل Tor صحبت نمی‌کند.

یک روش خوب برای پایش یک رله برای وضعیت سلامتی آن، نگاه انداختن به نمودار‌های پهنای باند آن است.

پایش سلامت سیستم

برای اطمینان از سلامت رلهٔ خود و در هم نشکستن، داشتن یک سامانهٔ پایش مقدماتی برای بررسی این معیار‌ها ایده خوبی است:

• پهنای باند
• اتصال‌های TCP برقرار شده
• حافظه
• Swap
• CPU

ابزارهای زیادی برای پایش این‌گونه داده‌ها وجود دارند. یکی از آنها munin است که نصب آن نسبتاً ساده است.

توجه: نمودار‌های دادهٔ (مختص) پایش خصوصی خود را عمومی نکنید چراکه این می‌تواند منجر به از بین‌بردن ناشناس‌سازی کاربران Tor شود.

چند توصیهٔ عملی:

• اگر می‌خواهید آمار ترافیک خود را منشتر کنید، باید تمام ترافیک رلهٔ خود را دست‌کم در یک هفته گذشته جمع‌آوری کرده، و سپس آن را به نزدیک‌ترین ۱۰ ترابایت گرد کنید.
• گزارش‌دادن رله‌های منفرد بدتر از گزارش‌دادن جمعی برای گروه‌هایی از رله‌ها است. در آینده، Tor به‌صورت امن تمام آمارهای پهنای باند را جمع‌آوری خواهد کرد تا گزارش‌دادن پهنای باند هر رلهٔ منفرد امنیت کمتری از آمارهای Tor خواهد داشت.
• دوره‌های کوچک‌تر بدتر هستند.
• اعداد بدتر از نمودار هستند.
• دادهٔ بی‌درنگ بدتر از دادهٔ تاریخی است.
• دادهٔ در دسته‌بندی‌ها (نسخهٔ IP، ورود/خروج، غیره.) بدتر از کل داده است.

ابزار

این بخش چندین ابزار را که ممکن است برای شما به‌عنوان اپراتور رلهٔ Tor به کار بیاید را فهرست کرده‌ایم.

• Nyx یک ابزار پروژهٔ Tor (سابقاً arm) است که به شما اجازه می‌دهد دادهٔ رلهٔ خود را بی‌درنگ مشاهده کنید.

• vnstat: vnstat یک ابزار خط فرمان است که میزان دادهٔ عبوری از اتصال شبکهٔ شما را نشان می‌دهد. می‌توانید از آن برای ایجاد‌کردن تصاویر PNG برای نمایش نمودار‌های ترافیک استفاده کنید. مستندات vnstat و خروجی نسخهٔ نمایشی.