1. Activer les mises à jour automatiques du logiciel

L'une des choses les plus importantes pour assurer la sécurité de votre relais est d'installer les mises à jour de sécurité en temps voulu et, idéalement, de manière automatique afin de ne pas les oublier. Suivez les instructions pour activer les mises à jour logicielles automatiques pour votre système d'exploitation.

2. Amorcer pkg

Cet article suppose que nous avons déjà une installation de base de FreeBSD, et seulement le système de base (ici, nous utilisons la version 12.2-RELEASE). Cela signifie que nous n'avons aucun paquet installé, ni même le gestionnaire de paquets pkg lui-même (il n'y a pas de sudo disponible - nous exécutons les commandes en tant que superutilisateur).

Pour démarrer et installer pkg, nous devons exécuter la commande suivante :

# pkg bootstrap
# pkg update -f

2.1. Etapes recommandées pour l'installation de pkg

Pour suivre les mises à jour amont de manière plus rapide, nous recommandons de changer la branche 'quarterly' utilisée par pkg pour la branche 'latest'.

Une étape supplémentaire consiste à préférer l'utilisation de HTTPS pour récupérer nos paquets et nos mises à jour - nous avons donc besoin d'un paquet supplémentaire pour nous aider (ca_root_nss).

Installation du paquet ca_root_nss :

# pkg install ca_root_nss

Nous conservons le paramètre original utilisé par pkg mais nous en définissons un nouveau qui le remplacera. Nous créons donc un nouveau répertoire, puis un fichier de configuration pour remplacer les informations dont nous avons besoin. Ce fichier de configuration sera /usr/local/etc/pkg/repos/FreeBSD.conf.

Création d'un nouveau répertoire :

# mkdir -p /usr/local/etc/pkg/repos

Voici à quoi doit ressembler le nouveau fichier de configuration /usr/local/etc/pkg/repos/FreeBSD.conf :

FreeBSD: {
  url: pkg+https://pkg.freebsd.org/${ABI}/latest
}

Après avoir appliqué tous ces changements, nous mettons à nouveau à jour la liste des paquets et essayons de vérifier s'il y a déjà une nouvelle mise à jour à appliquer :

# pkg update -f
# pkg upgrade -y -f

3. Installation du paquet

Installez le paquet tor de FreeBSD. Ici, nous pouvons choisir d'installer la dernière version stable, comme :

# pkg install tor

... ou installer une version alpha :

# pkg install tor-devel

4. Fichier de configuration

Mettre en place le fichier de configuration /usr/local/etc/tor/torrc :

Nickname myNiceRelay # Changez "myNiceRelay" en quelque chose que vous aimez
ContactInfo your@e-mail # Ecrivez votre e-mail en sachant qu'il sera publié
ORPort      443          # Vous pouvez utiliser un autre port si vous le souhaitez
ExitRelay   0
SocksPort   0
Log notice  syslog

5. Activer net.inet.ip.random_id

# echo "net.inet.ip.random_id=1" >> /etc/sysctl.conf
# sysctl net.inet.ip.random_id=1

6. Démarrer le service

Ici, nous configurons tor pour qu'il démarre au démarrage et nous utilisons la fonctionnalité setuid, afin de lier des ports inférieurs comme 443 (le démon lui-même fonctionnera toujours en tant qu'utilisateur normal non privilégié).

# sysrc tor_setuid=YES
# sysrc tor_enable=YES
# service tor start

7. Notes finales

Si vous avez des difficultés à configurer votre relais, consultez notre section d'aide. Si votre relais fonctionne maintenant, consultez les notes post-install.

DragonFlyBSD / FreeBSD / HardenedBSD