1. Activer les mises à jour automatiques du logiciel
L'une des choses les plus importantes pour assurer la sécurité de votre relais est d'installer les mises à jour de sécurité en temps voulu et, idéalement, de manière automatique afin de ne pas les oublier.
Suivez les instructions pour activer les mises à jour logicielles automatiques pour votre système d'exploitation.
2. Configurez le chemin d'accès du Projet Tor
Pour Debian/Ubuntu Il est recommandé de configurer l'installation du logiciel Tor Project et la documentation est sur Support portal. SVP suivez les instructions avant de procéder à l'installation.
Note : Les utilisateurs Ubuntu doivent prendre Tor du dossier Tor Project.
3. Installez Tor
Assurez-vous de mettre à jour la base de données des paquets avant d'installer le paquet, puis utilisez apt
pour l'installer :
# apt update
# apt install tor
4. Installez obfs4proxy
Sur Debian, la dernière version du paquet obfs4proxy
est disponible dans stable-backports. Par défaut, les paquets backports ne sont pas installés, donc pour installer la dernière version de obfs4proxy
vous devez utiliser la commande suivante sudo apt install -t bullseye-backports obfs4proxy
ou épingler le paquet avec une configuration similaire à celle-ci que vous placerez dans /etc/apt/preferences.d/obfs4proxy.pref
.
Explication : le système tor meta, exécuter la dernière version d'obfs4proxy
Package: obfs4proxy
Pin: release a=bullseye-backports
Pin-Priority: 500
Sur Ubuntu, bionic, cosmic, disco, eoan, et focal ont le paquet. Si vous utilisez l'un d'entre eux, sudo apt-get install obfs4proxy
devrait fonctionner.
Si ce n'est pas le cas, vous pouvez le construire à partir des sources.
5. Editez votre fichier de configuration Tor, habituellement situé à /etc/tor/torrc
et remplacez son contenu avec :
BridgeRelay 1
#Remplacez "TODO1" avec le port Tor de votre choix.
# Ce port doit être accessible de l'extérieur.
# Evitez le port 9001 car il est associé à Tor et la censure pourrait scanner Internet par ce port.
ORPort TODO1
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy
# Remplacez "TODO2" par un port obsf4 de votre choix.
# Ce port doit être accessible de l'extérieur et doit être différent de celui spécifié pour ORPort.
# Evitez le port 9001 car il est associé à Tor et la censure pourrait scanner Internet par ce port.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2
# Port de communication local entre Tor et obfs4. Mettez toujours cette valeur à "auto".
# "Ext" signifie "étendu", et non "externe". N'essayez pas de définir un numéro de port spécifique, ni d'écouter sur 0.0.0.0.
ExtORPort auto
#Remplacez "<address@email.com>" par votre adresse mail afin que nous puissions vous contacter s'il y a des problèmes avec votre port.
# C'est optionnel mais conseillé.
ContactInfo <address@email.com>
# Choisissez un surnom que vous aimez pour votre pont. Ceci est optionnel.
Nickname PickANickname
N'oubliez pas de modifier les options ORPort
, ServerTransportListenAddr
, ContactInfo
, et Nickname
.
Note that both Tor's OR port and its obfs4 port must be reachable. If your bridge is behind a firewall or NAT, make sure to open both ports. You can use our reachability test to see if your obfs4 port is reachable from the Internet.
(Optional) Configure systemd to allow obfs4 binding on privileged ports
If you decide to use a fixed obfs4 port smaller than 1024 (for example 80 or 443), you will need to configure systemd and give obfs4 CAP_NET_BIND_SERVICE
capabilities to bind the port with a non-root user:
sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy
To work around systemd hardening, you will also need to edit and change the configuration.
Exécutez la commande :
sudo systemctl edit tor@.service tor@default.service
Dans l'éditeur, saisir le texte suivant, puis sauvegarder et quitter.
[Service]
NoNewPrivileges=no
Dans le second éditeur qui apparaît, saisr le même texte, puis sauvegarder et quitter.
[Service]
NoNewPrivileges=no
If everything worked correctly, you will now have two files /etc/systemd/system/tor@.service.d/override.conf
and /etc/systemd/system/tor@default.service.d/override.conf
containing the text you entered.
Maintenant redémarrez le service tor :
sudo service tor restart
Il n'est pas nécessaire d'éxecuter systemctl daemon-reload
car systemctl edit
le fait automatiquement.
For more details, see ticket 18356.
6. Redémarrez Tor
Activez et lancez Tor
:
# systemctl enable --now tor.service
Ou redémarrez-le s'il était déjà en cours d'exécution, afin que les configurations prennent effet :
# systemctl restart tor.service
7. Surveillez vos logs
Pour confirmer que votre pont fonctionne sans problème, vous devriez voir quelque chose comme ceci (habituellement dans /var/log/syslog
ou en exécutant # journalctl -e -u tor@default
) :
[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
8. Notes finales
Si vous avez des difficultés à configurer votre pont, consultez notre section d'aide.
Si votre pont fonctionne maintenant, consultez les notes post-installation.