4d08 Heberger un relais tor - Telecomix Crypto Munitions Bureau

Heberger un relais tor

From Telecomix Crypto Munitions Bureau

Jump to: navigation, search

Héberger un relai tor sur un serveur sous Debian

An English version is available here

Je pense que si vous êtes ici c'est parce que vous savez déjà ce qu'est TOR. Sinon vous pouvez chercher sur internet, vous trouverez plein de docs.

Il y a déjà des tutoriels sur comment héberger un relai TOR, celui ci est peut-être seulement un de plus, mais je vais tenter de le faire le plus court possible avec le moins superflu. C'est rapide à faire et très simple. Je vous conseille de faire tourner un relai interne au réseau, c'est à dire que rien que les données qui sortent de votre relai tor vont dans un autre relai tor. Vous pouvez faire un relai de sortie mais vous pouvez avoir des plaintes et surtout certains FAI n'aiment pas du tout TOR.

Si vous n'avez pas déjà installé tor, vous pouvez suivre les consignes

:~$ gpg --keyserver keys.gnupg.net --recv 886DDD89
:~$ gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
:~$ apt-get update
:~$ apt-get install deb.torproject.org-keyring
:~$ apt-get install tor

(les détails sont disponibles à cette adresse : https://www.torproject.org/docs/debian.html.en#ubuntu) Maintenant TOR devrait fonctionner, vous pouvez tester en configurant votre navigateur sur 127.0.0.1:9050 puis en allant sur https://check.torproject.org/. (Si c'est un serveur dédié, c'est normal que ça ne marche pas).

Ensuite nous allons éditer le fichier de configuration qui se trouve dans /etc/tor/torrc. J'utilise personnellement vim, mais vous pouvez utiliser un autre éditeur de texte.

:~$ vim /etc/tor/torrc

Je vais mettre uniquement les lignes qu'il faut changer : /!\ le numéro est le numéro de ligne de vim je le laisse comme indication, il NE faut PAS le mettre.

48 RunAsDaemon 1

Pour que tor fonctionne en arrière fond.

83 ORPort 9001

Vous pouvez mettre le port 443 si vous n'avez pas de site en HTTPS, cela permet aux personnes derrière des firewalls de malgré tout accéder au réseau tor.

100 Nickname mettez_le_nom_de_votre_relai
107 RelayBandwidthRate 100 KB  # Throttle traffic to 100KB/s (800Kbps)
108 RelayBandwidthBurst 200 KB # But allow bursts up to 200KB/s (1600Kbps)

Vous pouvez limiter le débit de votre relai si vous ne voulez pas que ça consomme trop de bande passante.

115 ## Set a maximum of 4 gigabytes each way per period.
116 #AccountingMax 4 GB
117 ## Each period starts daily at midnight (AccountingMax is per day)
118 #AccountingStart day 00:00
119 ## Each period starts on the 3rd of the month at 15:00 (AccountingMax
120 ## is per month)
121 #AccountingStart month 3 15:00

Si vous souhaitez limiter le volume de data passant par votre relai, il faut décommenter ces lignes (enlever le "#") et régler avec les paramètres souhaités.

126 ContactInfo Random Person <nobody AT example dot com>

Si vous voulez qu'on puisse vous contacter en cas de problèmes. (Si vous avez héberger un relai de sortie, mettre cette adresse de contact est vivement conseillée !)

128 ContactInfo 0xFFFFFFFF Random Person <nobody AT example dot com>

Si vous avez une clé PGP.

132 DirPort 9030 # what port to advertise for directory connections

Vous pouvez mettre le port 80 si vous n'avez pas de site en HTTP, cela permet aux personnes derrière des firewalls de malgré tout accéder au réseau tor.

175 ExitPolicy reject *:* # no exits allowed

Pour bloquer toutes les sorties.

183 #BridgeRelay 1

Décommentez cette ligne si vous voulez être un bridge (c'est simplement un relai qui n'est pas listé, cela peut être utile si vous êtes chez un FAI qui n'aime pas TOR, à confirmer).

Maintenant on va sauvegarder le fichier de configuration. Avec vim il suffit de taper

:wq

Maintenant on va redémarrer TOR.

:~$ /etc/init.d/tor restart

Allons voir ce que nous avons dans le log

:~$ tail -f /var/log/tor/log

Vous devriez voir défiler

 13 Jul 05 16:39:12.000 [notice] Tor 0.2.3.18-rc (git-a2015428e4698ff9) opening log file.
 14 Jul 05 16:39:12.000 [notice] Parsing GEOIP file /usr/share/tor/geoip.
 15 Jul 05 16:39:12.000 [notice] Configured to measure statistics. Look for the *-stats files that will first be written to the data directory in 24 hours from now.
 16 Jul 05 16:39:12.000 [notice] No AES engine found; using AES_* functions.
 17 Jul 05 16:39:12.000 [notice] This version of OpenSSL has a slow implementation of counter mode; not using it.
 18 Jul 05 16:39:13.000 [notice] OpenSSL OpenSSL 0.9.8o 01 Jun 2010 looks like version 0.9.8m or later; I will try SSL_OP to enable renegotiation
 19 Jul 05 16:39:13.000 [notice] Your Tor server's identity key fingerprint is 'spécifique à votre serveur'
 20 Jul 05 16:39:14.000 [notice] Reloaded microdescriptor cache.  Found 6671 descriptors.
 21 Jul 05 16:39:15.000 [notice] I learned some more directory information, but not enough to build a circuit: We have no usable consensus.
 22 Jul 05 16:39:15.000 [notice] Guessed our IP address as **.**.**.** (source: **.**.**.**).
 23 Jul 05 16:39:16.000 [notice] Bootstrapped 5%: Connecting to directory server.
 24 Jul 05 16:39:16.000 [notice] Heartbeat: It seems like we are not in the cached consensus.
 25 Jul 05 16:39:16.000 [notice] Heartbeat: Tor's uptime is 0:00 hours, with 2 circuits open. I've sent 0 kB and received 0 kB.
 26 Jul 05 16:39:16.000 [notice] Bootstrapped 10%: Finishing handshake with directory server.
 27 Jul 05 16:39:16.000 [notice] We weren't able to find support for all of the TLS ciphersuites that we wanted to advertise. This won't hurt security, but it might make your Tor (if 
......
 67 Jul 05 16:39:23.000 [notice] Bootstrapped 80%: Connecting to the Tor network.
 68 Jul 05 16:39:24.000 [notice] Bootstrapped 85%: Finishing handshake with first hop.
 69 Jul 05 16:39:25.000 [notice] Bootstrapped 90%: Establishing a Tor circuit.
 70 Jul 05 16:39:26.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
 71 Jul 05 16:39:26.000 [notice] Bootstrapped 100%: Done.
 72 Jul 05 16:39:26.000 [notice] Now checking whether ORPort **.**.**.**:9001 and DirPort **.**.**.**:9030 are reachable... (this may take up to 20 minutes -- look for log messages indicating success)
 73 Jul 05 16:39:28.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
 74 Jul 05 16:39:28.000 [notice] Self-testing indicates your DirPort is reachable from the outside. Excellent.
 75 Jul 05 16:39:30.000 [notice] Performing bandwidth self-test...done.

Il est important d'avoir ce message

73 Jul 05 16:39:28.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
74 Jul 05 16:39:28.000 [notice] Self-testing indicates your DirPort is reachable from the outside. Excellent.

Cela montre que votre relai fonctionne.

Plus tard si vous continuer à regarder les logs, vous devriez avoir tous les 6 heures un message qui vous donne le volume du data qui a transité par votre relai.

  6 Jul 06 22:54:45.000 [notice] Heartbeat: Tor's uptime is 6:00 hours, with ** circuits open. I've sent *.** GB and received *.** GB.
  7 Jul 07 04:54:45.000 [notice] Heartbeat: Tor's uptime is 12:00 hours, with **circuits open. I've sent *.** GB and received *.** GB.

(les dates ne correspondent pas, j'avais redémarré mon relai entretemps).

Pour éteindre votre relai

:~$ /etc/init.d/tor stop

Cela va prendre 30 secondes pour ne pas casser les connexions, donc s'il vous plait, attendez ces 30 secondes.

Si vous avez un problème n'hésitez pas à demander sur #telecomix.fr (en Français) ou en Anglais sur #telecomix ou sur l'irc d'OFTC sur #tor.

Personal tools
0