1. Activer les mises à jour automatiques du logiciel

L'une des choses les plus importantes pour assurer la sécurité de votre relais est d'installer les mises à jour de sécurité en temps voulu et, idéalement, de manière automatique afin de ne pas les oublier. Suivez les instructions pour activer les mises à jour automatiques des logiciels pour votre système d'exploitation.

2. Configurez le chemin d'accès du Projet Tor

La configuration du référentiel du projet Tor pour Fedora consiste essentiellement à mettre en place /etc/yum.repos.d/Tor.repo avec le contenu suivant :

[tor]
name=Tor for Fedora $releasever - $basearch
baseurl=https://rpm.torproject.org/fedora/$releasever/$basearch
enabled=1
gpgcheck=1
gpgkey=https://rpm.torproject.org/fedora/public_gpg.key
cost=100

De plus amples informations à ce sujet sont disponibles ici.

3. Installer tor

Une fois que vous avez configuré le référentiel Tor, vous pouvez maintenant installer le paquet :

# dnf install tor

4. Installez obfs4proxy

Nous décidons d'installer et d'utiliser obfs4 comme notre transport connectable, donc nous allons installer obfs4proxy.

Contrairement aux autres distributions Linux, Fedora propose un fichier binaire que nous pouvons utiliser. Il est disponible depuis Fedora 33.

Le paquet s'appelle obfs4 et c'est tout ce dont vous avez besoin pour l'installer :

# dnf install obfs4

For more information about installing or building lyrebird from source, please refer to its official documentation.

5. Editez votre fichier de configuration Tor, habituellement situé à /etc/tor/torrc et remplacez son contenu avec :

RunAsDaemon 1
BridgeRelay 1

# Remplacez "TODO1" par un port Tor de votre choix.  Ce port doit être externe
# reachable.  Evitez le port 9001 parce qu'il est généralement associé à Tor et à
# Les censeurs peuvent rechercher ce port sur l'internet.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy

# Remplacez "TODO2" par un port obfs4 de votre choix.  Ce port doit être
# accessible de l'extérieur et doit être différent de celui spécifié pour ORPort.
# Évitez le port 9001 car il est généralement associé à
# Tor et les censeurs peuvent rechercher ce port sur Internet.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Port de communication local entre Tor et obfs4.  Mettez toujours cette valeur à "auto".
# "Ext" signifie "étendu" et non "externe".  N'essayez pas de définir un port spécifique
# numéro, ne pas écouter sur 0.0.0.0.
ExtORPort auto

# Remplacez "<address@email.com>" par votre mail afin que nous puissions vous contacter si
# il y a des problèmes avec votre pont.  Ceci est facultatif mais encouragé.
ContactInfo <address@email.com>

# Choisissez un surnom que vous aimez pour votre pont.  Ceci est optionnel.
Nickname PickANickname

N'oubliez pas de modifier les options ORPort, ServerTransportListenAddr, ContactInfo, et Nickname.

  • Notez que les ports de Tor OR et que les ports de son transport connectable obfs4 doit pouvoir êtres atteints. Si votre pont est derrière un pare-feu ou un NAT, Verifiez que vous avez bien ouvert tout les ports. Vous pouvez utiliser notre test d'accesibilité pour voir si votre port obfs4 est atteignable depuis Internet.

6. Disable SeLinux

Check wether SeLinux is set to "Enforcing":

# getenforce

If set to "Enforcing", change Status to "Permissive":

# setenforce 0

To make the changes permanent:

# nano /etc/selinux/config

And change SELINUX=enforcing to SELINUX=permissive.

7. Open Ports in Fedora firewall

For the obfs4 and ORPort which you have chosen in the torrc file:

# firewall-cmd --add-port XXX/tcp --permanent

After you did it for both ports, run:

# firewall-cmd --reload

(Optional) Configure systemd to allow obfs4 binding on privileged ports

If you decide to use a fixed obfs4 port smaller than 1024 (for example 80 or 443), you will need to configure systemd and give obfs4 CAP_NET_BIND_SERVICE capabilities to bind the port with a non-root user:

# setcap cap_net_bind_service=+ep /usr/bin/obfs4proxy

8. Restart Tor

# systemctl enable --now tor

9. Monitor your logs

Pour confirmer que votre pont fonctionne sans problèmes, vous devez voir quelque chose comme ça (habituellement /var/log/tor/log ou /var/log/syslog) :

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

10. Final Notes

Si vous avez des difficultés à configurer votre pont, consultez notre section d'aide. Si votre pont fonctionne maintenant, consultez les notes post-installation.