1. S'assurer que les ports de relais sont accessibles
Si vous utilisez un pare-feu, ouvrez une brèche dans votre pare-feu pour que les connexions entrantes puissent atteindre les ports que vous utiliserez pour votre relais (ORPort).
Assurez-vous également d'autoriser toutes les connexions sortantes, afin que votre relais puisse atteindre les autres relais Tor, les clients et les destinations.
Vous pouvez trouver le numéro de port TCP ORPort spécificque dans la Page de configuration (dans les sections spécifiques au système d'exploitation).
2. Vérifiez que votre relais fonctionne
Si votre fichier journal (syslog) contient l'entrée suivante après avoir démarré votre démon tor, votre relais devrait être opérationnel et fonctionner comme prévu :
Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.
Environ 3 heures après le début de votre relais, celui-ci devrait apparaître sur Relay Search sur le portail Métriques.
Vous pouvez rechercher votre relais en utilisant votre pseudo ou votre adresse IP.
3. En savoir plus sur le cycle de vie des relais Tor
Il faut un certain temps pour que le trafic des relais augmente, ce qui est particulièrement vrai pour les relais de garde, mais aussi, dans une moindre mesure, pour les relais de sortie. Pour comprendre ce processus, lisez le cycle de vie d'un nouveau relais.
4. Gestion de la configuration
Si vous prévoyez de faire tourner plus d'un seul relais, ou si vous voulez faire tourner un relais de haute capacité (plusieurs instances Tor par serveur) ou si vous voulez utiliser des fonctionnalités de sécurité fortes comme les Offline Master Keys sans effectuer d'étapes supplémentaires manuellement, vous pouvez vouloir utiliser la gestion de configuration pour une meilleure maintenabilité.
Il existe de nombreuses solutions de gestion de la configuration pour les systèmes d'exploitation basés sur Unix (Ansible, Puppet, Salt, ...).
Le rôle Ansible suivant a été spécialement conçu pour les opérateurs de relais Tor et prend en charge plusieurs systèmes d'exploitation : Ansible Relayor.
5. Important : si vous utilisez plus d'une instance de Tor
Pour éviter de mettre les clients Tor en danger, lorsque vous utilisez plusieurs relais, vous devez définir une valeur MyFamily appropriée et avoir un ContactInfo valide dans votre configuration torrc.
Le paramètre MyFamily indique simplement aux clients Tor quels relais Tor sont contrôlés par une seule entité/opérateur/organisation, de sorte qu'ils ne sont pas utilisés dans des positions multiples dans un seul circuit.
Si vous utilisez deux relais dont les empreintes digitales sont AAAAAAAAAA et BBBBBBBB, vous devez ajouter la configuration suivante pour définir MyFamily :
MyFamily AAAAAAAAAA,BBBBBBBB
aux deux relais. Pour trouver l'empreinte de votre relais, vous pouvez consulter les fichiers journaux au démarrage de Tor ou trouver le fichier nommé "fingerprint" dans votre répertoire de données Tor.
Au lieu de le faire manuellement, nous recommandons aux grands opérateurs d'automatiser le paramétrage de MyFamily au moyen d'une solution de gestion de la configuration.
La gestion manuelle de MyFamily pour les grands groupes relais est source d'erreurs et peut mettre les clients de Tor en danger.
6. Facultatif : Limiter l'utilisation de la bande passante (et le trafic)
Tor ne limite pas l'utilisation de la bande passante par défaut, mais propose plusieurs moyens de restreindre la bande passante utilisée et la quantité de trafic.
Cela peut être pratique si vous voulez vous assurer que votre relais Tor ne dépasse pas une certaine quantité de bande passante ou de trafic total par jour/semaine/mois.
Les options de configuration suivantes de torrc peuvent être utilisées pour restreindre la bande passante et le trafic :
- AccountingMax
- AccountingRule
- AccountingStart
- BandwidthRate
- BandwidthBurst
- RelayBandwidthRate
Il est préférable d'avoir un relais rapide pendant une partie du mois plutôt qu'un relais lent pendant tout le mois.
Voir également l'entrée relative à la bande passante dans la FAQ.
7. Vérifier la disponibilité d'IPv6
Nous encourageons tout le monde à activer l'IPv6 sur leurs relais. Ceci est particulièrement utile pour les relais de sortie et de garde.
Avant de permettre à votre démon Tor d'utiliser IPv6 en plus d'IPv4, vous devez effectuer quelques tests de connectivité IPv6 de base.
La ligne de commande suivante envoie un ping aux adresses IPv6 des autorités de répertoire Tor de votre serveur :
ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.
Si ce n'est pas le cas, n'activez pas IPv6 dans votre fichier de configuration torrc avant qu'IPv6 ne fonctionne effectivement.
Si vous activez l'IPv6 sans que la connectivité IPv6 fonctionne, l'ensemble de votre relais restera inutilisé, même si l'IPv4 fonctionne.
Si cela a fonctionné correctement, rendez votre relais Tor accessible via IPv6 en ajoutant une ligne ORPort supplémentaire à votre configuration (exemple pour ORPort 9001) :
ORPort [IPv6-address]:9001
L'emplacement de cette ligne dans le fichier de configuration n'a pas d'importance.
Vous pouvez simplement l'ajouter à côté des premières lignes ORPort dans votre fichier torrc.
Note : Vous devez spécifier explicitement votre adresse IPv6 entre crochets, vous ne pouvez pas dire à tor de se lier à n'importe quelle adresse IPv6 (comme vous le faites pour l'IPv4).
Si vous disposez d'une adresse IPv6 globale, vous devriez pouvoir la trouver dans le résultat de la commande suivante :
ip -6 addr | grep global | sed 's/inet6//;s#/.*##'
Si vous êtes un relais de sortie disposant d'une connectivité IPv6, indiquez à votre démon tor d'autoriser la sortie via IPv6 afin que les clients puissent atteindre des destinations IPv6 :
IPv6Exit 1
Note : Tor nécessite une connectivité IPv4, vous ne pouvez pas faire fonctionner un relais Tor sur IPv6 uniquement..
8. Maintenance d'un relais
Sauvegarde des clés d'identité Tor
Après l'installation initiale et le démarrage du démon Tor, il est conseillé de faire une sauvegarde des clés d'identité à long terme de votre relais.
Ils se trouvent dans le sous-dossier "keys" de votre répertoire DataDirectory (il suffit de faire une copie de l'ensemble du dossier et de la conserver dans un endroit sûr).
Comme les relais ont un temps de montée en puissance, il est logique de sauvegarder la clé d'identité pour pouvoir restaurer la réputation de votre relais après une panne de disque - sinon vous devriez repasser par la phase de montée en puissance.
Ne le faites que si vous disposez d'un endroit très sûr pour vos clés, car en cas de vol, ces clés pourraient théoriquement permettre le décryptage du trafic ou une usurpation d'identité.
Emplacements par défaut du dossier des clés :
- Debian/Ubuntu:
/var/lib/tor/keys
- FreeBSD:
/var/db/tor/keys
- OpenBSD:
/var/tor/keys
- Fedora:
/var/lib/tor/keys
S'abonner à la liste de diffusion tor-announce
Il s'agit d'une liste de diffusion à très faible trafic et vous recevrez des informations sur les nouvelles versions stables de Tor et des informations importantes sur les mises à jour de sécurité : tor-announce.
Mise en place des notifications de panne
Une fois que vous avez mis en place votre relais, il fonctionnera probablement sans trop de travail de votre part.
Si quelque chose ne va pas, il est bon d'en être informé automatiquement.
Nous vous recommandons d'utiliser l'un des services gratuits qui vous permettent de vérifier la disponibilité des ORPorts de votre relais et de vous envoyer un mail s'ils deviennent inaccessibles pour quelque raison que ce soit.
UptimeRobot est l'un de ces services qui vous permet de surveiller les auditeurs TCP sur des ports arbitraires.
Ce service peut vérifier les ports configurés une fois toutes les 5 minutes et vous envoyer un mail si votre processus tor s'arrête ou devient inaccessible.
Cette vérification ne concerne que l'auditeur mais ne parle pas du protocole Tor.
Un bon moyen de surveiller l'état de santé d'un relais est de jeter un coup d'œil sur ses graphiques de bande passante.
Moniteur de l'état du système
Pour vous assurer que votre relais est en bonne santé et qu'il n'est pas submergé, il est judicieux de mettre en place une surveillance de base du système afin de garder un œil sur les paramètres suivants :
- Bande passante
- Connexions TCP établies
- Mémoire
- Swap
- CPU
Il existe de nombreux outils pour surveiller ce type de données, munin est l'un d'entre eux et il est relativement facile à mettre en place.
Note : Ne rendez pas publics vos graphiques de données de surveillance privée car cela pourrait aider les attaquants à désanonymiser les utilisateurs de Tor.
Quelques conseils pratiques :
- Si vous souhaitez publier des statistiques sur le trafic, vous devez agréger le trafic de tous vos relais sur une période d'au moins une semaine, puis arrondir ce chiffre aux 10 TiB (téraoctets) les plus proches.
- Les rapports sur les relais individuels sont moins bons que les rapports sur le total des groupes de relais. À l'avenir, tor agrégera de manière sécurisée les statistiques de bande passante, de sorte que tout rapport sur la bande passante d'un relais individuel sera moins sécurisé que les statistiques de tor.
- Les périodes plus courtes sont pires.
- Les chiffres sont pires que les graphiques.
- Les données en temps réel sont moins bons que les données historiques.
- Les données par catégories (version IP, entrée/sortie, etc.) sont moins bonnes que les données totales.
Outils
Cette section énumère quelques outils qui peuvent s'avérer utiles en tant qu'opérateur de relais Tor.
Nyx : est un outil du projet Tor (anciennement arm) qui vous permet de voir les données en temps réel de votre relais.
vnstat : vnstat est un outil en ligne de commande qui indique la quantité de données transitant par votre connexion réseau.
Vous pouvez également l'utiliser pour générer des images PNG montrant des graphiques de trafic. documentation vnstat et sortie démo.