1. Aktarıcı bağlantı noktalarına erişilebildiğinden emin olun
Bir güvenlik duvarı kullanıyorsanız, güvenlik duvarında bir delik açın. Böylece gelen bağlantılar aktarıcınız için kullandığınız bağlantı noktalarına erişebilir (ORPort).
Ayrıca, aktarıcınızın diğer Tor aktarıcılarına, istemcilerine ve hedeflere ulaşabilmesi için tüm giden bağlantılara izin verdiğinizden emin olun.
Belirli ORPort TCP bağlantı noktası numarasını kurulum sayfasında (işletim sistemine özel bölümlerde) bulabilirsiniz.
2. Aktarıcınızın çalıştığını doğrulayın
Günlük dosyanızda (syslog), Tor hizmetini başlattıktan sonra aşağıdaki kayıt bulunuyorsa, aktarıcınız beklendiği gibi çalışıyor olmalıdır:
Self-testing indicates your ORPort is reachable from the outside. Excellent.
Publishing server descriptor.
Aktarıcınız başlatıldıktan yaklaşık 3 saat sonra, Metrics sitesindeki Aktarıcı Araması üzerinde görüntülenmelidir.
Aktarıcınızı, takma adınızı ya da IP adresinizi kullanarak arayabilirsiniz.
3. Tor aktarıcı yaşam döngüsünü öğrenin
Aktarıcı trafiğinin artması biraz zaman alır. Bu durum özellikle koruma aktarıcıları ve daha az oranda çıkış aktarıcıları için geçerlidir. Bu işlemi anlamak için yeni bir aktarcının yaşam döngüsü bölümüne bakabilirsiniz.
4. Yapılandırma yönetimi
Birden fazla aktarıcı ya da yüksek kapasiteli bir aktarıcı (bir sunucuda birkaç Tor kopyası) işletmeyi istiyorsanız ya da Çevrim dışı ana anahtarlar gibi güçlü güvenlik özellikleri kullanmak istiyorsanız, el ile yapılması gereken işlemlere gerek kalmadan daha iyi bakım yapabilmek için yapılandırma yönetimini kullanmak isteyebilirsiniz.
Unix tabanlı işletim sistemleri (Ansible, Puppet, Salt, ...) için birden fazla yapılandırma yönetimi çözümü vardır.
Aşağıdaki Ansible Rolü, Tor aktarıcı işletmecileri için özel olarak oluşturulmuştur ve birden çok işletim sistemini destekler: Ansible Relayor.
5. Önemli: Birkaç Tor kopyası çalıştırıyorsanız
Tor istemcilerini riske atmaktan kaçınmak için, birkaç aktarıcı çalıştırırken, Torrc yapılandırmanıza uygun bir MyFamily değeri ve geçerli bir ContactInfo değeri yazmalısınız.
MyFamily ayarı, istemcilere hangi Tor aktarıcılarının tek bir varlık/işletmeci/kuruluş tarafından yönetildiğini ve tek bir devrede birden çok kez kullanılmayacağını söyler.
İki aktarıcı işletiyorsanız ve bunların parmak izleri AAAAAAAAAA ile BBBBBBBB şeklindeyse, MyFamily değerini ayarlamak için her iki aktarıcıya da aşağıdaki yapılandırmayı eklemelisiniz:
MyFamily AAAAAAAAAA,BBBBBBBB
Aktarıcınızın parmak izini öğrenmek için tor başlatıldıktan sonra günlük dosyalarına bakabilir veya DataDirectory klasöründeki fingerprint" adlı dosyaya bakabilirsiniz.
Bu işlemi el ile yapmak yerine, büyük işletmeciler için MyFamily ayarını bir yapılandırma yönetimi uygulaması kullanarak otomatikleştirmenizi öneririz.
Büyük aktarıcı grupları için MyFamily değerini el ile ayarlamak hataya açıktır ve Tor istemcilerini riske atabilir.
6. Add firewall rules to protect against DDoS attacks
Configuring your firewall to stop too many concurrent connections has been shown to significantly help deal with DDoS attacks against relays.
Consider implementing one of the following mechanisms:
Note: These are community provided resources.
You should check them carefully before applying them to your system.
Additionally, be aware that these rules have been shown to work for particular attacks that have happened in the past.
Attacks are constantly evolving and will often need new rules, so please stay connected to update these as necessary, either by subscribing to the relevant project or by subscribing to the tor-relays mailing list.
7. Optional: Limiting bandwidth usage (and traffic)
Tor, varsayılan olarak bant genişliği kullanımını sınırlamaz. Ancak kullanılan bant genişliği ve trafik miktarı kısıtlanmak istenirse bunun için kullanılabilecek birkaç yöntem vardır.
Tor aktarıcınızın belirli bir bant genişliğini veya günlük/ haftalık/aylık trafik toplamını aşmamasını sağlamak istiyorsanız bu özellik işe yarar.
Aşağıdaki torrc yapılandırma ayarları, bant genişliğini ve trafiği sınırlamak için kullanılabilir:
- AccountingMax
- AccountingRule
- AccountingStart
- BandwidthRate
- BandwidthBurst
- RelayBandwidthRate
Ayın belirli bir döneminde hızlı bir aktarıcı kullanabilmek, tüm ay boyunca yavaş bir aktarıcı kullanmaya yeğlenir.
Ayrıca SSS bölümündeki bant genişliği kaydına bakabilirsiniz.
8. Check IPv6 availability
Aktarıcı işletmecilerini IPv6 kullanmaya yönlendiriyoruz. Özellikle çıkış ve koruma aktarıcıları için değerli oluyor.
Tor hizmetinin IPv4 yanında IPv6 kullanmaya geçirmeden önce bazı temel IPv6 bağlantı sınamaları yapmanız gerekir.
Aşağıdaki komut satırı, sunucunuzdan Tor dizin yöneticilerinin IPv6 adreslerine ping paketleri gönderir:
ping6 -c2 2001:858:2:2:aabb:0:563b:1526 && ping6 -c2 2620:13:4000:6000::1000:118 && ping6 -c2 2001:67c:289c::9 && ping6 -c2 2001:678:558:1000::244 && ping6 -c2 2001:638:a000:4140::ffff:189 && echo OK.
Çıktının sonunda "OK" görmelisiniz. Görmüyorsanız, IPv6 gerçekten çalışmadan torrc yapılandırma dosyanızda IPv6 özelliğini etkinleştirmeyin.
IPv6 bağlantısı çalışmadan IPv6 özelliğini etkinleştirirseniz, IPv4 bağlantısının çalışıp çalışmadığına bakılmadan aktarıcınız tümüyle devre dışı kalır.
İyi çalışıyorsa, yapılandırmanıza ek bir ORPort satırı ekleyerek Tor aktarıcınızı IPv6 üzerinden erişilebilir hale getirin (örneğin ORPort 9001 için):
ORPort [IPv6-address]:9001
Bu satırın yapılandırma dosyasındaki konumu önemli değildir.
Bu satırı torrc dosyanızdaki ilk ORPort satırlarından sonra ekleyebilirsiniz.
Not: IPv6 adresinizi köşeli parantez içinde açıkça belirtmelisiniz. Tor uygulamasına herhangi bir IPv6 bağlantısı kurması söylenemez (IPv4 için olduğu gibi).
Küresel bir IPv6 adresiniz varsa, onu şu komutun çıktısında bulabilmeniz gerekir:
ip -6 addr | grep global | sed 's/inet6//;s#/.*##'
IPv6 bağlantılı bir çıkış aktarıcınız varsa, istemcilerin IPv6 hedeflerine ulaşabilmesi için tor arka plan işleminin IPv6 üzerinden çıkışa izin vermesini sağlayın:
IPv6Exit 1
Not: Tor için, IPv4 bağlantısı gerekir. Tor aktarıcısı yalnızca IPv6 ile işletilemez.
9. Maintaining a relay
Tor kimliği anahtarlarınızı yedekleyin
İlk kurulumdan ve tor arka plan işlemi başladıktan sonra, aktarıcınızın uzun dönem kimlik anahtarlarının yedeğini almak iyi bir fikirdir.
Bunlar DataDirectory veri klasörünüzün "keys" alt klasöründe bulunur (tüm klasörün bir kopyasını alın ve güvenli bir yerde saklayın).
Aktarıcıların bir hızlanma süresi vardır. Örneğin bir disk arızasından sonra aktarıcınızın itibarını geri yükleyebilmek için kimlik anahtarını yedeklemek mantıklıdır. Yoksa yeniden hızlanma aşamasından geçmeniz gerekir.
Çalınabileceği için bunu yalnızca, anahtarlarınız için çok güvenli bir yeriniz varsa yapın. Bu anahtarlar teorik olarak trafik şifresinin çözülmesini veya kimliğinize bürünülmesini sağlayabilir.
Keys klasörünün varsayılan konumu:
- Debian/Ubuntu:
/var/lib/tor/keys
- FreeBSD:
/var/db/tor/keys
- OpenBSD:
/var/tor/keys
- Fedora:
/var/lib/tor/keys
tor-announce e-posta listesine abone olun
Bu çok düşük trafikli bir e-posta listesidir ve yeni kararlı tor sürümleri ile önemli güvenlik güncellemeleri hakkında bilgiler gönderilir: tor-announce.
Kesinti bildirimlerini ayarlama
Once you have set up your relay, it will likely run without much work from your side.
If something goes wrong, it is good to get notified automatically.
We recommend using Tor Weather, a notification service developed by the Tor Project.
It helps relay operators get notified when their relays or bridges are offline, as well as for other incidents.
Another option is to use one of the free services that allow you to check your relay's ORPorts for reachability and send you an email should they become unreachable for any reason.
UptimeRobot, bu hizmetlerden biridir ve TCP dinleyicilerini rastgele bağlantı noktalarında izlemenizi sağlar.
Bu hizmet, yapılandırılmış bağlantı noktalarınızı her 5 dakikada bir denetleyerek tor işleminizin durması veya erişilemez olması durumunda size bir e-posta gönderebilir.
Bu, yalnızca dinleyiciyi denetler ancak Tor iletişim kuralı ile iletişim kurmaz.
Bir aktarıcının sağlık durumunu izlemenin iyi bir yolu, bant genişliği grafiklerine bakmaktır.
Sistem sağlığını izleme
Aktarıcınızın sağlıklı olduğundan ve aşırı yüklenmediğinden emin olmak için aşağıdaki ölçümleri gözlemek amacıyla bazı temel sistem izleme uygulamaları kullanmak mantıklıdır:
- Bant genişliği
- Kurulmuş TCP Bağlantıları
- Bellek
- Takas
- İşlemci
Bu tür verileri izlemek için birçok araç vardır, munin bunlardan biridir ve kurulumu nispeten kolaydır.
Not: Kişisel izleme veri grafikleriniz saldırganlara Tor kullanıcılarının anonimliğini aşma konusunda yardımcı olabileceğinden bunları herkese açık hale getirmeyin.
Bazı pratik öneriler:
- Trafik istatistiklerini yayınlamak istiyorsanız, tüm aktarıcılarınızın trafiğini en az bir hafta boyunca toplamanız ve ardından bunu en yakın 10 TiB (terabayt) değerine yuvarlamanız gerekir.
- Tek tek aktarıcıları raporlamak, aktarıcı grupları için toplamları bildirmekten daha kötüdür. Gelecekte Tor, bant genişliği istatistiklerini güvenli bir şekilde toplayacak. B u nedenle herhangi bir tekil aktarıcı bant genişliği raporu, Tor istatistiklerinden daha az güvenli olacaktır.
- Daha kısa dönemler daha kötüdür.
- Rakamlar grafiklerden daha kötüdür.
- Gerçek zamanlı veriler, geçmiş verilerinden daha kötüdür.
- Kategorik veriler (IP sürümü, giriş/çıkış vb.) toplam verilerden daha kötüdür.
Araçlar
Bu bölümde, Tor aktarıcı işletmecisi olarak kullanabileceğiniz birkaç araç bulabilirsiniz.
Nyx (eski adıyla arm), aktarıcınızın gerçek zamanlı verilerini görmenizi sağlayan bir Tor Project aracıdır.
vnstat, ağ bağlantınızdan geçen veri miktarını gösteren bir komut satırı aracıdır.
Trafik grafiklerini gösteren PNG görselleri oluşturmak için de kullanabilirsiniz. vnstat belgeleri ve demo çıktısı.