1. Aktiviere automatische Software Updates

Eines der wichtigsten Dinge, um dein Relay sicher zu halten, ist die rechtzeitige und idealerweise automatische Installation von Sicherheitsupdates, damit du es nicht vergessen kannst. Folge den Anweisungen, um automatische Software-Updates auf deinem Betriebssystem einzurichten.

2. Installiere tor

Führe dieses Kommando aus, um das tor-Paket unter Arch Linux zu installieren:

# pacman -Syu tor

3. Installiere eine austauschbare Übertragungsart

Wir entscheiden uns obfs4 als austauschbare Übertragungsart zu nutzen, also installieren wir obfs4proxy.

Leider gibt es dafür kein Paket in den offiziellen Paketquellen von Arch Linux. Wir müssen also entweder aus dem Quellcode kompilieren, oder das AUR (Arch Linux User Repository) verwenden.

Solltest du dich entscheiden, das AUR zu benutzen, denk daran, dass makepkg nicht als root ausgeführt werden darf. Hier ist eine Anleitung, wie du obfs4proxy als unprivilegierter Nutzer mit sudo-Rechten aus dem AUR installieren kannst:

$ sudo pacman -Syu git
$ git clone https://aur.archlinux.org/obfs4proxy
$ cd obfs4proxy
$ makepkg -irs
  • DISCLAIMER: AUR Pakete werden von Nutzern erstellt und von niemandem kontrolliert. Du benutzt die bereitgestellten Dateien auf eigenes Risiko.

    Wenn du mehr über die Installation von obfs4proxy wissen willst oder es aus dem Quellcode bauen möchtest sieh dir die offizielle Dokumentation an.

4. Bearbeite deine Tor-Konfigurations-Datei, die sich normalerweise unter /etc/tor/torrc befindet, und ersetze ihren Inhalt durch:

BridgeRelay 1
DataDirectory /var/lib/tor
User tor

# Ersetze "TODO1" durch einen Tor Port deiner Wahl. Dieser Port muss von außen
# erreichbar sein. Vermeide Port 9001, weil er üblicherweise mit Tor in Verbindung gebracht wird, und
# Zensoren suchen möglicherweise das Internet nach diesem Port ab.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Ersetze "TODO2" durch einen obfs4 Port deiner Wahl. Dieser Port muss
# von außen erreichbar sein und muss sich von dem für ORPort angegebenen unterscheiden.
# Vermeide Anschluss 9001, weil er häufig in Verbindung gebracht wird mit
# Tor, und Zensoren suchen möglicherweise das Internet nach diesem Port ab.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Lokaler Kommunikations-Port zwischen Tor und obfs4. Stelle dies immer auf "auto" ein.
# "Ext" bedeutet "erweitert", nicht "extern". Versuche weder eine bestimmte Port-Nummer
# einzustellen, noch auf 0.0.0.0 zu hören.
ExtORPort auto

# Ersetze "<address@email.com>" mit deiner E-Mail-Adresse, damit wir dich kontaktieren können, wenn
# es Probleme mit deiner Brücke gibt  Dies ist freiwillig, wird aber empfohlen.
ContactInfo <address@email.com>

# Wähle einen Spitznamen für deine Brücke. Dies ist optional.
Nickname PickANickname

Vergiß nicht, die Optionen ORPort, ServerTransportListenAddr, ContactInfo und Spitzname zu ändern.

  • Wenn du dich entscheidest, einen festen obfs4-Port kleiner als 1024 zu verwenden (z.B. 80 oder 443), musst du obfs4 CAP_NET_BIND_SERVICE-Fähigkeiten geben, um den Ports an einen Nicht-Root-Benutzer zu binden:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

Um die systemd-Härtung zu umgehen, musst du auch NoNewPrivileges=no in /usr/lib/systemd/system/tor.service setzen und dann systemctl daemon-reload ausführen. Für weitere Details siehe Ticket 18356.

  • Beachte, dass sowohl der OR-Port von Tor als auch der obfs4-Port erreichbar sein müssen. Wenn sich deine Brücke hinter einer Firewall oder NAT befindet, stelle sicher, dass beide Ports geöffnet sind. Du kannst unseren Erreichbarkeitstest benutzen, um zu sehen, ob dein obfs4-Port aus dem Internet erreichbar ist.

5. Aktiviere und Starte tor

# systemctl enable --now tor
... or restart it if it was running already, so configurations take effect
# systemctl restart tor

6. Schlussbemerkungen

Wenn du Probleme beim Einrichten deiner Brücke hast, schau dir unsere Hilfe-Sektion an. Wenn deine Brücke jetzt läuft, sieh dir die Nachinstallations-Hinweise an.