1. Activer les mises à jour automatiques du logiciel

L'une des choses les plus importantes pour assurer la sécurité de votre relais est d'installer les mises à jour de sécurité en temps voulu et, idéalement, de manière automatique afin de ne pas les oublier. Suivez les instructions pour activer les mises à jour logicielles automatiques pour votre système d'exploitation.

2. Configurez le chemin d'accès du Projet Tor

Pour Debian/Ubuntu Il est recommandé de configurer l'installation du logiciel Tor Project et la documentation est sur Support portal. SVP suivez les instructions avant de procéder à l'installation.

Note : Les utilisateurs Ubuntu doivent prendre Tor du dossier Tor Project.

3. Installez Tor

Assurez-vous de mettre à jour la base de données des paquets avant d'installer le paquet, puis utilisez apt pour l'installer :

# apt update
# apt install tor

4. Installez obfs4proxy

On Debian, the obfs4proxy package is available in unstable, testing, and stable. On Ubuntu, bionic, cosmic, disco, eoan, and focal have the package. If you're running any of them, sudo apt-get install obfs4proxy should work.

If not, you can build it from source.

5. Editez votre fichier de configuration Tor, habituellement situé à /etc/tor/torrc et remplacez son contenu avec :

BridgeRelay 1

# Remplacez "TODO1" avec le port Tor de votre choix.
# Ce port doit être accessible de l'extérieur.
# Evitez le port 9001 car il est associé à Tor et la censure pourrait scanner Internet par ce port.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Remplacez "TODO2" par un port obsf4 de votre choix.
# Ce port doit être accessible de l'extérieur et doit être différent de celui spécifié pour ORPort.
# Evitez le port 9001 car il est associé à Tor et la censure pourrait scanner Internet par ce port.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Port de communication local entre Tor et obfs4.  Mettez toujours cette valeur à "auto".
# "Ext" signifie "étendu", et non "externe".  N'essayez pas de définir un numéro de port spécifique, ni d'écouter sur 0.0.0.0.
ExtORPort auto

# Remplacez "<address@email.com>" par votre adresse mail afin que nous puissions vous contacter s'il y a des problèmes avec votre port.
# C'est optionnel mais conseillé.
ContactInfo <address@email.com>

# Choisissez un surnom que vous aimez pour votre pont.  Ceci est optionnel.
Nickname PickANickname

N'oubliez pas de modifier les options ORPort, ServerTransportListenAddr, ContactInfo, et Nickname.

Note that both Tor's OR port and its obfs4 port must be reachable. If your bridge is behind a firewall or NAT, make sure to open both ports. You can use our reachability test to see if your obfs4 port is reachable from the Internet.

(Optional) Configure systemd to allow obfs4 binding on privileged ports

If you decide to use a fixed obfs4 port smaller than 1024 (for example 80 or 443), you will need to configure systemd and give obfs4 CAP_NET_BIND_SERVICE capabilities to bind the port with a non-root user:

sudo setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

To work around systemd hardening, you will also need to edit and change the configuration.

Exécutez la commande :

sudo systemctl edit tor@.service tor@default.service

Dans l'éditeur, saisir le texte suivant, puis sauvegarder et quitter.

[Service]
NoNewPrivileges=no

Dans le second éditeur qui apparaît, saisr le même texte, puis sauvegarder et quitter.

[Service]
NoNewPrivileges=no

If everything worked correctly, you will now have two files /etc/systemd/system/tor@.service.d/override.conf and /etc/systemd/system/tor@default.service.d/override.conf containing the text you entered.

Maintenant redémarrez le service tor :

sudo service tor restart

Il n'est pas nécessaire d'éxecuter systemctl daemon-reload car systemctl editle fait automatiquement. For more details, see ticket 18356.

6. Redémarrez Tor

Activez et lancez Tor :

# systemctl enable --now tor.service

Ou redémarrez-le s'il était déjà en cours d'exécution, afin que les configurations prennent effet :

# systemctl restart tor.service

7. Surveillez vos logs

Pour confirmer que votre pont fonctionne sans problème, vous devriez voir quelque chose comme ceci (habituellement dans /var/log/syslog ou en exécutant # journalctl -e -u tor@default) :

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. Notes finales

Si vous avez des difficultés à configurer votre pont, consultez notre section d'aide. Si votre pont fonctionne maintenant, consultez les notes post-installation.