1. Aktarıcı bağlantı noktalarına erişilebildiğinden emin olun

Bir güvenlik duvarı kullanıyorsanız, güvenlik duvarında bir delik açın. Böylece gelen bağlantılar aktarıcınız için kullandığınız bağlantı noktalarına erişebilir (ORPort).

Ayrıca, aktarıcınızın diğer Tor aktarıcılarına, istemcilerine ve hedeflere ulaşabilmesi için tüm giden bağlantılara izin verdiğinizden emin olun.

Belirli ORPort TCP bağlantı noktası numarasını kurulum sayfasında (işletim sistemine özel bölümlerde) bulabilirsiniz.

2. Aktarıcınızın çalıştığını doğrulayın

Günlük dosyanızda (syslog), Tor hizmetini başlattıktan sonra aşağıdaki kayıt bulunuyorsa, aktarıcınız beklendiği gibi çalışıyor olmalıdır:

Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.

Aktarıcınız başlatıldıktan yaklaşık 3 saat sonra, Metrics sitesindeki Aktarıcı Araması üzerinde görüntülenmelidir. Aktarıcınızı, takma adınızı ya da IP adresinizi kullanarak arayabilirsiniz.

3. Tor aktarıcı yaşam döngüsünü öğrenin

Aktarıcı trafiğinin artması biraz zaman alır. Bu durum özellikle koruma aktarıcıları ve daha az oranda çıkış aktarıcıları için geçerlidir. Bu işlemi anlamak için yeni bir aktarcının yaşam döngüsü bölümüne bakabilirsiniz.

4. Yapılandırma yönetimi

Birden fazla aktarıcı ya da yüksek kapasiteli bir aktarıcı (bir sunucuda birkaç Tor kopyası) işletmeyi istiyorsanız ya da Çevrim dışı ana anahtarlar gibi güçlü güvenlik özellikleri kullanmak istiyorsanız, el ile yapılması gereken işlemlere gerek kalmadan daha iyi bakım yapabilmek için yapılandırma yönetimini kullanmak isteyebilirsiniz.

Unix tabanlı işletim sistemleri (Ansible, Puppet, Salt, ...) için birden fazla yapılandırma yönetimi çözümü vardır.

Aşağıdaki Ansible Rolü, Tor aktarıcı işletmecileri için özel olarak oluşturulmuştur ve birden çok işletim sistemini destekler: Ansible Relayor.

5. Önemli: Birkaç Tor kopyası çalıştırıyorsanız

Tor istemcilerini riske atmaktan kaçınmak için, birkaç aktarıcı çalıştırırken, Torrc yapılandırmanıza uygun bir MyFamily değeri ve geçerli bir ContactInfo değeri yazmalısınız. MyFamily ayarı, istemcilere hangi Tor aktarıcılarının tek bir varlık/işletmeci/kuruluş tarafından yönetildiğini ve tek bir devrede birden çok kez kullanılmayacağını söyler.

İki aktarıcı işletiyorsanız ve bunların parmak izleri AAAAAAAAAA ile BBBBBBBB şeklindeyse, MyFamily değerini ayarlamak için her iki aktarıcıya da aşağıdaki yapılandırmayı eklemelisiniz:

MyFamily AAAAAAAAAA,BBBBBBBB

iki aktarıcı için. Aktarıcınızın parmak izini öğrenmek için tor başlatıldıktan sonra günlük dosyalarına bakabilir veya DataDirectory klasöründeki fingerprint" adlı dosyaya bakabilirsiniz.

Bu işlemi el ile yapmak yerine, büyük işletmeciler için MyFamily ayarını bir yapılandırma yönetimi uygulaması kullanarak otomatikleştirmenizi öneririz. Büyük aktarıcı grupları için MyFamily değerini el ile ayarlamak hataya açıktır ve Tor istemcilerini riske atabilir.

6. DDoS saldırılarından korunmak için güvenlik duvarı kuralları ekleyin

Güvenlik duvarınızı çok sayıda eş zamanlı bağlantıyı durduracak şekilde yapılandırmanın, aktarıcılara yönelik DDoS saldırılarıyla başa çıkmada önemli ölçüde yardımcı olduğu gösterilmiştir.

Şu yöntemlerden birini uygulamayı değerlendirin:

Not: Bu kaynaklar topluluk tarafından sağlanır. Bunları sisteminize uygulamadan önce dikkatlice kontrol etmelisiniz. Ayrıca, bu kuralların geçmişte gerçekleşen belirli saldırılarda işe yaradığının gösterildiğini unutmayın. Saldırılar sürekli olarak gelişmektedir ve sıklıkla yeni kurallara gerek duyulacaktır. Bu nedenle lütfen ilgili projeye abone olarak veya tor-relays e-posta listesine abone olarak bunları gerektiği gibi güncellemek için bilgi almayı sürdürün.

7. İsteğe bağlı: Bant genişliği kullanımını (ve trafiği) sınırlayın

Tor, varsayılan olarak bant genişliği kullanımını sınırlamaz. Ancak kullanılan bant genişliği ve trafik miktarı kısıtlanmak istenirse bunun için kullanılabilecek birkaç yöntem vardır. Tor aktarıcınızın belirli bir bant genişliğini veya günlük/ haftalık/aylık trafik toplamını aşmamasını sağlamak istiyorsanız bu özellik işe yarar. Aşağıdaki torrc yapılandırma ayarları, bant genişliğini ve trafiği sınırlamak için kullanılabilir:

  • AccountingMax
  • AccountingRule
  • AccountingStart
  • BandwidthRate
  • BandwidthBurst
  • RelayBandwidthRate

Ayın belirli bir döneminde hızlı bir aktarıcı kullanabilmek, tüm ay boyunca yavaş bir aktarıcı kullanmaya yeğlenir.

Ayrıca SSS bölümündeki bant genişliği kaydına bakabilirsiniz.

8. IPv6 kullanılabilirliğini kontrol edin

Aktarıcı işletmecilerini IPv6 kullanmaya yönlendiriyoruz. Özellikle çıkış ve koruma aktarıcıları için değerli oluyor.

Tor hizmetinin IPv4 yanında IPv6 kullanmaya geçirmeden önce bazı temel IPv6 bağlantı sınamaları yapmanız gerekir.

Aşağıdaki komut satırı, sunucunuzdan Tor dizin yöneticilerinin IPv6 adreslerine ping paketleri gönderir:

ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.

Çıktının sonunda "OK" görmelisiniz. Görmüyorsanız, IPv6 gerçekten çalışmadan torrc yapılandırma dosyanızda IPv6 özelliğini etkinleştirmeyin. IPv6 bağlantısı çalışmadan IPv6 özelliğini etkinleştirirseniz, IPv4 bağlantısının çalışıp çalışmadığına bakılmadan aktarıcınız tümüyle devre dışı kalır.

İyi çalışıyorsa, yapılandırmanıza ek bir ORPort satırı ekleyerek Tor aktarıcınızı IPv6 üzerinden erişilebilir hale getirin (örneğin ORPort 9001 için):

ORPort [IPv6-address]:9001

Bu satırın yapılandırma dosyasındaki konumu önemli değildir. Bu satırı torrc dosyanızdaki ilk ORPort satırlarından sonra ekleyebilirsiniz.

Not: IPv6 adresinizi köşeli parantez içinde açıkça belirtmelisiniz. Tor uygulamasına herhangi bir IPv6 bağlantısı kurması söylenemez (IPv4 için olduğu gibi). Küresel bir IPv6 adresiniz varsa, onu şu komutun çıktısında bulabilmeniz gerekir:

ip -6 addr | grep global | sed 's/inet6//;s#/.*##'

IPv6 bağlantılı bir çıkış aktarıcınız varsa, istemcilerin IPv6 hedeflerine ulaşabilmesi için tor arka plan işleminin IPv6 üzerinden çıkışa izin vermesini sağlayın:

IPv6Exit 1

Not: Tor için, IPv4 bağlantısı gerekir. Tor aktarıcısı yalnızca IPv6 ile işletilemez.

9. Bir aktarıcının bakımı

Tor kimliği anahtarlarınızı yedekleyin

İlk kurulumdan ve tor arka plan işlemi başladıktan sonra, aktarıcınızın uzun dönem kimlik anahtarlarının yedeğini almak iyi bir fikirdir. Bunlar DataDirectory veri klasörünüzün "keys" alt klasöründe bulunur (tüm klasörün bir kopyasını alın ve güvenli bir yerde saklayın). Aktarıcıların bir hızlanma süresi vardır. Örneğin bir disk arızasından sonra aktarıcınızın itibarını geri yükleyebilmek için kimlik anahtarını yedeklemek mantıklıdır. Yoksa yeniden hızlanma aşamasından geçmeniz gerekir. Çalınabileceği için bunu yalnızca, anahtarlarınız için çok güvenli bir yeriniz varsa yapın. Bu anahtarlar teorik olarak trafik şifresinin çözülmesini veya kimliğinize bürünülmesini sağlayabilir.

Keys klasörünün varsayılan konumu:

  • Debian/Ubuntu: /var/lib/tor/keys
  • FreeBSD: /var/db/tor/keys
  • OpenBSD: /var/tor/keys
  • Fedora: /var/lib/tor/keys

tor-announce e-posta listesine abone olun

Bu çok düşük trafikli bir e-posta listesidir ve yeni kararlı tor sürümleri ile önemli güvenlik güncellemeleri hakkında bilgiler gönderilir: tor-announce.

Kesinti bildirimlerini ayarlama

Aktarıcınızı kurduğunuzda, büyük olasılıkla sizin fazla bir şey yapmanıza gerek kalmadan çalışacaktır. Bir şeyler ters gittiğinde otomatik olarak bilgi almak iyidir. Tor Projesi tarafından geliştirilen bir bildirim hizmeti olan Tor Weather’ı kullanmanızı öneririz. Aktarıcı işletmecilerinin, aktarıcıları veya köprüleri çevrim dışı olduğunda ve diğer olaylarda bildirim almasını sağlar.

Bir diğer seçenek, aktarıcınızın ORPort bağlantı noktalarının erişilebilirliğini kontrol ederek, herhangi bir nedenle erişilemez olmaları durumunda size e-posta bildirimi gönderen ücretsiz hizmetlerden birini kullanmaktır. UptimeRobot, bu hizmetlerden biridir ve TCP dinleyicilerini rastgele bağlantı noktalarında izlemenizi sağlar. Bu hizmet, yapılandırılmış bağlantı noktalarınızı her 5 dakikada bir denetleyerek tor işleminizin durması veya erişilemez olması durumunda size bir e-posta gönderebilir. Bu, yalnızca dinleyiciyi denetler ancak Tor iletişim kuralı ile iletişim kurmaz.

Bir aktarıcının sağlık durumunu izlemenin iyi bir yolu, bant genişliği grafiklerine bakmaktır.

Sistem sağlığını izleme

Aktarıcınızın sağlıklı olduğundan ve aşırı yüklenmediğinden emin olmak için aşağıdaki ölçümleri gözlemek amacıyla bazı temel sistem izleme uygulamaları kullanmak mantıklıdır:

  • Bant genişliği
  • Kurulmuş TCP Bağlantıları
  • Bellek
  • Takas
  • İşlemci

Bu tür verileri izlemek için birçok araç vardır, munin bunlardan biridir ve kurulumu nispeten kolaydır.

Not: Kişisel izleme veri grafikleriniz saldırganlara Tor kullanıcılarının anonimliğini aşma konusunda yardımcı olabileceğinden bunları herkese açık hale getirmeyin.

Bazı pratik öneriler:

  • Trafik istatistiklerini yayınlamak istiyorsanız, tüm aktarıcılarınızın trafiğini en az bir hafta boyunca toplamanız ve ardından bunu en yakın 10 TiB (terabayt) değerine yuvarlamanız gerekir.
  • Tek tek aktarıcıları raporlamak, aktarıcı grupları için toplamları bildirmekten daha kötüdür. Gelecekte Tor, bant genişliği istatistiklerini güvenli bir şekilde toplayacak. B u nedenle herhangi bir tekil aktarıcı bant genişliği raporu, Tor istatistiklerinden daha az güvenli olacaktır.
  • Daha kısa dönemler daha kötüdür.
  • Rakamlar grafiklerden daha kötüdür.
  • Gerçek zamanlı veriler, geçmiş verilerinden daha kötüdür.
  • Kategorik veriler (IP sürümü, giriş/çıkış vb.) toplam verilerden daha kötüdür.

Araçlar

Bu bölümde, Tor aktarıcı işletmecisi olarak kullanabileceğiniz birkaç araç bulabilirsiniz.

  • Nyx (eski adıyla arm), aktarıcınızın gerçek zamanlı verilerini görmenizi sağlayan bir Tor Project aracıdır.

  • vnstat, ağ bağlantınızdan geçen veri miktarını gösteren bir komut satırı aracıdır. Trafik grafiklerini gösteren PNG görselleri oluşturmak için de kullanabilirsiniz. vnstat belgeleri ve demo çıktısı.