1. Activați actualizările automate ale software-ului

Unul dintre cele mai importante lucruri pentru a vă menține releul în siguranță este să instalați actualizările de securitate în timp util și în mod ideal automat, astfel încât să nu puteți uita despre asta. Urmați instrucțiunile pentru a activa actualizările automate ale software-ului pentru sistemul de operare.

2. Configurați depozitul proiectului Tor

Configurarea depozitului de pachete al proiectului Tor pentru Debian/Ubuntu este recomandată și documentată pe portal de suport. Vă rugăm să urmați aceste instrucțiuni înainte de a continua.

Notă: Utilizatorii Ubuntu trebuie să obțină Tor din depozitul proiectului Tor.

3. Instalați Tor

Asigurați-vă că actualizați baza de date a pachetelor înainte de a instala pachetul, decât să apelați apt pentru a-l instala:

# apt update
# apt install tor

4. Instalați obfs4proxy

On Debian, the latest version obfs4proxy package is available in stable-backports. By default, backports packages are not installed, so to install the latest version of obfs4proxy you need to use the following command sudo apt install -t bullseye-backports obfs4proxy or to pin the package with a config similar to this one that you will place in /etc/apt/preferences.d/obfs4proxy.pref.

Explanation: tor meta, always run latest version of obfs4proxy
Package: obfs4proxy
Pin: release a=bullseye-backports
Pin-Priority: 500

On Ubuntu, bionic, cosmic, disco, eoan, and focal have the package. If you're running any of them, sudo apt-get install obfs4proxy should work.

Dacă nu, îl puteți construi folosind sursa.

5. Editați fișierul dumneavoastră Tor config, de obicei localizat la /etc/tor/torrc și înlocuiți conținutul acestuia cu:

BridgeRelay 1

# Înlocuiți "TODO1" cu un port Tor la alegere.
# Acest port trebuie să poată fi accesat extern.
# Evitați portul 9001, deoarece este asociat în mod obișnuit cu Tor și cenzorii pot scana pe Internet pentru acest port.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Înlocuiți "TODO2" cu un port obfs4 la alegere.
# Acest port trebuie să fie accesibil extern și trebuie să fie diferit de cel specificat pentru ORPort.
# Evitați portul 9001, deoarece este asociat în mod obișnuit cu Tor și cenzorii pot scana pe Internet pentru acest port.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Portul de comunicare locală între Tor și obfs4. Configurați întotdeauna acest lucru pe „auto”.
# "Ext" înseamnă "extins", nu "extern". Nu încercați să setați un număr de port specific și nici să ascultați la 0.0.0.0.
ExtORPort auto

# Înlocuiți "<address@email.com>" cu adresa dvs. de e-mail, astfel încât să vă putem contacta dacă există probleme cu puntea dvs.
# Aceasta lucru este opțional, dar încurajată.
ContactInfo <address@email.com>

# Alegeți o poreclă care vă place pentru puntea dvs. Aceasta este opțională.
Nickname PickANickname

Nu uitați să schimbați opțiunile ORPort,ServerTransportListenAddr, ContactInfo șiNickname.

Note that both Tor's OR port and its obfs4 port must be reachable. If your bridge is behind a firewall or NAT, make sure to open both ports. You can use our reachability test to see if your obfs4 port is reachable from the Internet.

(Optional) Configure systemd to allow obfs4 binding on privileged ports

If you decide to use a fixed obfs4 port smaller than 1024 (for example 80 or 443), you will need to configure systemd and give obfs4 CAP_NET_BIND_SERVICE capabilities to bind the port with a non-root user:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

To work around systemd hardening, you will also need to edit and change the configuration.

Run the command:

sudo systemctl edit tor@.service tor@default.service

In the editor, enter the following text, then save and quit.

[Service]
NoNewPrivileges=no

In the second editor that appears, enter the same text, then save and quit.

[Service]
NoNewPrivileges=no

If everything worked correctly, you will now have two files /etc/systemd/system/tor@.service.d/override.conf and /etc/systemd/system/tor@default.service.d/override.conf containing the text you entered.

Now restart tor service:

sudo service tor restart

There is no need to run systemctl daemon-reload because systemctl edit does it automatically. For more details, see ticket 18356.

6. Reporniți Tor

Activați și porniți tor:

# systemctl enable --now tor.service

Sau reporniți-l dacă rulează deja, astfel încât configurațiile să aibă efect:

# systemctl restart tor.service

7. Monitorizați-vă jurnalele

Pentru a confirma bridge-ul dumneavoastră rulează fără probleme, ar trebui să vedeți ceva de genul acesta (de obicei în /var/log/syslog sau rulați # journalctl -e -u tor@default):

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. Note finale

Dacă întâmpinați dificultăți la configurarea podului, aruncați o privire la secțiunea noastră de ajutor. Dacă puntea dumneavoastră rulează acum, verificați notele post-instalare.