Cách thiết lập Tor Middle/Guard Relay trên VPS Ubuntu

Bài viết này được dịch máy
Xem bản gốc

Bây giờ chúng ta đều biết Tor là gì. Cho dù bạn biết nó như một công cụ để chống lại sự kiểm duyệt bất công hay trình duyệt đặc biệt mà bạn mở để mua thuốc trực tuyến, nó ngày càng được sử dụng rộng rãi trong thập kỷ qua và nó vẫn là một công cụ mạnh mẽ cho những việc quan trọng như vượt qua tường lửa của chính phủ và ẩn danh trong khi chạy máy chủ gia đình.

Trong bài đăng này, tôi sẽ cung cấp một cái nhìn tổng quan ngắn gọn, cấp cao về cách The Onion Router (vâng, đó là ý nghĩa của TOR) hoạt động trong các tình huống khác nhau và cách bạn có thể giúp bảo mật và phân cấp mạng Tor đồng thời giúp nó duy trì khả năng chống kiểm duyệt và dành băng thông để cải thiện hiệu suất, tất cả mà không phải hy sinh bảo mật hoặc quyền riêng tư của riêng bạn.

Tôi sẽ tập trung hướng dẫn này vào việc thiết lập mới từ VPS. Bạn có thể sử dụng tùy chọn giá rẻ, chẳng hạn như tùy chọn 6 đô la một tháng từ Vultr mà không làm tốn băng thông mạng gia đình của bạn. Ngoài ra, việc chạy một chuyển tiếp Tor sẽ hiển thị địa chỉ IP của bạn cho công chúng, vì tất cả các chuyển tiếp được lưu trữ trong thư mục chuyển tiếp Tor. Bản chất động của hầu hết các chỉ định IP internet tại nhà cũng có thể làm giảm độ tin cậy của rơle của bạn.

Về cơ bản, đáng để trả 6 đô la để chạy nó từ một VPS.

Trước hết, một sự khác biệt rất quan trọng phải được thực hiện…

Rơle "giữa" và "bảo vệ" so với các nút thoát

Tor có ba loại nút: nút bảo vệ (hoặc lối vào), nút giữa và nút thoát.

Một nút đầu vào, như tên của nó, là lối vào mạng Tor của bạn. Cho dù bạn nhập một miền .com cũ thông thường hay bạn sử dụng một miền .onion, lưu lượng truy cập của bạn trước tiên sẽ được định tuyến thông qua một nút nhập.

Một nút giữa cũng tự giải thích tương tự. Tor hoạt động bằng cách trả lại lưu lượng truy cập của bạn giữa nhiều rơle, thường là 3. Chúng được tạo thành từ một nút đầu vào/bảo vệ, nút giữa và, tùy thuộc vào việc bạn muốn truy cập dịch vụ ẩn Tor “clearnet” hay “darknet” Tor, hoặc là một nút thoát (đến Clearnet) hoặc trực tiếp từ nút giữa tới máy chủ của trang web bạn đang truy cập (dịch vụ ẩn).

Về mặt kỹ thuật, rơle đầu vào/bảo vệ và rơle ở giữa là giống nhau, nhưng rơle chỉ được sử dụng làm đầu vào sau khi nó đã hoạt động được một tháng hoặc lâu hơn và đã được mạng đánh giá là đủ nhanh.

Nếu bạn truy cập một trang web “clearnet” bình thường thông qua Tor, lưu lượng truy cập của bạn được định tuyến thông qua một nút vào, giữa và nút thoát. Nếu bạn truy cập một trang web .onion, lưu lượng truy cập của bạn vẫn được định tuyến trong mạng Tor, do đó, nó không yêu cầu nút thoát.

Đây là nơi cảnh báo quan trọng xuất hiện!

Bạn hoàn toàn có thể chạy nút vào/nút giữa , nhưng KHÔNG ĐƯỢC CHẠY NÚT THOÁT trừ khi bạn hiểu đầy đủ các rủi ro liên quan và đã thực hiện tư vấn pháp lý phù hợp.

Đây là một chủ đề quan trọng đến nỗi ngay cả Dự án Tor cũng dành riêng một trang để giải thích lý do tại sao bạn không nên chạy một nút thoát khỏi nhà của mình, hướng dẫn bạn thực hiện điều đó dưới sự quản lý của một công ty trách nhiệm hữu hạn hoặc phi lợi nhuận hỗ trợ mạng Tor và có thể đảm bảo. bạn được bảo vệ hợp pháp và phải làm gì nếu bạn bị đột kích vì ai đó đã làm điều bất hợp pháp có vẻ như nó đến từ địa chỉ IP của bạn.

May mắn thay , đây hoàn toàn không phải là vấn đề đáng lo ngại nếu bạn chỉ thiết lập một mục nhập Tor/rơle trung gian và vô hiệu hóa tất cả lưu lượng thoát. Các rủi ro trên chỉ áp dụng cho các nút thoát.

Điều này là do với nút đầu vào/nút giữa tiêu chuẩn, bạn chỉ chuyển tiếp lưu lượng truy cập được mã hóa trong mạng Tor và không có lưu lượng truy cập nào truy cập vào “mạng thông minh” từ IP của bạn hoặc IP của VPS của bạn. Chuyển tiếp của bạn sẽ gửi lưu lượng đến một nút thoát do người khác điều hành hoặc nó sẽ gửi lưu lượng trong mạng Tor nếu người dùng đang truy cập một dịch vụ ẩn Tor.

Trong cả hai trường hợp, bản chất được mã hóa của mạch Tor có nghĩa là mạng không thể giám sát các rơle đầu vào và giữa và lưu lượng được định tuyến qua rơle của bạn không được đính kèm với địa chỉ IP của bạn.

Và đó là những gì hướng dẫn này sẽ đề cập. Cách thiết lập an toàn một rơle đầu vào/trung gian trong mạng Tor. Điều này hầu như không gây rủi ro cho bạn nếu thiết lập chính xác trên VPS và hỗ trợ khả năng chống kiểm duyệt, tốc độ, phi tập trung và bảo mật của mạng Tor.

Thiết lập VPS

Kích hoạt một VPS cơ bản với Debian hoặc Ubuntu. Tốt nhất bạn nên sử dụng khóa SSH để đăng nhập chứ không phải mật khẩu. Bạn cũng nên thiết lập các quy tắc tường lửa của máy chủ lưu trữ để chỉ cho phép lưu lượng truy cập đến qua cổng 22 từ địa chỉ IP của chính bạn, điều này sẽ khiến người ngoài phạm vi IP của bạn không thể cố gắng bẻ khóa thông tin đăng nhập SSH của bạn.

Quan trọng: đảm bảo rằng bạn cũng cho phép HTTPS (cổng 443) từ mọi nơi (không chỉ IP của bạn) trong các quy tắc tường lửa máy chủ này!

Trang quy tắc tường lửa của Vultr cho phép SSH chỉ chấp nhận các kết nối từ IP của bạn

Bản thân phần cứng của VPS thậm chí có thể chỉ có 1 vCPU và 1GB RAM. Phần quan trọng nhất cần chú ý ở đây là băng thông. Bạn muốn có ít nhất vài trăm GB mỗi tháng, lý tưởng nhất là ít nhất 1TB và nếu có tính phí vượt quá thì chúng phải hợp lý. May mắn là băng thông ngày nay có xu hướng rẻ.

Một số máy chủ lưu trữ như Digital Ocean thậm chí còn “gộp” băng thông của bạn, vì vậy nếu bạn đã có VPS hoặc một vài trong số chúng và một số băng thông được phân bổ của chúng không được sử dụng, thì băng thông đó có thể được sử dụng bởi người khác.

Đừng lo lắng, nếu bạn muốn kiểm soát việc sử dụng băng thông của mình, bạn có thể đặt giới hạn trong cấu hình cho rơle của mình trước khi bật.

Cấu hình VPS cơ bản

Bước đầu tiên sau khi chạy VPS và SSH vào đó là cập nhật hệ thống, định cấu hình tường lửa để chỉ cho phép SSH và HTTPS, đảm bảo apt được thiết lập để cài đặt qua HTTPS và khởi động lại:

 sudo apt update && sudo apt upgrade -y sudo apt install apt-transport-https sudo ufw allow ssh sudo ufw allow https sudo ufw enable sudo reboot

Bây giờ để bảo mật, chúng tôi chỉ cần đặt máy chủ tự động cập nhật:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Chỉ cần xóa // từ phía sau các dòng updatesbackports , thay vì thêm vào bên dưới các dòng mặc định:

"TorProject:${distro_codename}";

Sau đó, nó sẽ trông giống như thế này:

Nếu nó trông như thế này, bạn đã thiết lập đúng

Bây giờ, chỉ cần cuộn xuống một chút và đảm bảo rằng nó được đặt thành tự động khởi động lại và các tùy chọn dọn dẹp tự động được bật để đảm bảo các bản cập nhật hoạt động bình thường. Bạn thực hiện việc này bằng cách xóa // trước các tùy chọn Unattended-Upgrade mà bạn muốn bật và đảm bảo rằng bạn thay đổi false thành true nếu cần.

Đây là những tùy chọn bạn muốn kích hoạt, nó sẽ trông như thế này:

Đảm bảo rằng nó khởi động lại để tự động cài đặt các bản cập nhật và xóa các phụ thuộc không còn cần thiết

Bây giờ nhấn ctrl + O để lưu và ctrl + X để thoát.

Khi đã xong, chúng ta có thể bắt đầu thiết lập tiếp sức Tor!

Tùy chọn: thiết lập một tên miền

Tại thời điểm này, bạn cũng có thể trỏ miền hoặc miền phụ tới địa chỉ IPv4 và IPv6 (nếu được hỗ trợ) của VPS giống như bất kỳ VPS nào khác bằng cách đặt bản ghi A và AAAA trên miền của bạn.

Điều này sẽ hiển thị trong thư mục chuyển tiếp Tor thay vì DNS đảo ngược mặc định của máy chủ. Điều đó không cần thiết, nhưng tốt hơn hết bạn nên kết nối rơle của mình với một miền mà bạn kiểm soát, nó có tổ chức hơn và nó cũng cung cấp cho bạn tùy chọn cung cấp một trang web giải thích Tor là gì nếu ai đó truy cập URL đó trong trình duyệt.

Vultr cũng cho phép bạn đặt DNS ngược ở cuối của họ, trong khi bạn khởi động VPS hoặc sau này trong tab cài đặt

Hầu hết các máy chủ lưu trữ cũng sẽ cho phép bạn đặt tên miền của mình làm DNS ngược trên bảng điều khiển của họ. Đây không phải là sự thay thế cho việc mua và thiết lập bản ghi cho miền thực tế. Bạn nên làm cả hai.

Cài đặt rơle Tor

SSH trở lại VPS sau khi nó khởi động lại và kiểm tra tên mã cho phiên bản Ubuntu hoặc Debian bạn đang chạy:

 lsb_release -c

Ví dụ, trên Ubuntu LTS hiện tại, điều này sẽ quay lại với codename: jammy , điều này sẽ rất quan trọng trong bước tiếp theo.

Bây giờ chúng tôi tạo tệp kho lưu trữ Tor:

 sudo nano /etc/apt/sources.list.d/tor.list

Điều này sẽ tạo ra một tập tin trống mới. Trong đó, giả sử tên mã phát hành hệ điều hành của bạn là jammy , bạn sẽ dán hai dòng này vào:

 deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org jammy main deb-src [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org jammy main

Nếu tên mã hệ điều hành của bạn khác (ví dụ: buster cho Debian), hãy thay thế jammy bằng tên đó trong hai dòng trên.

Bây giờ chỉ cần thêm khóa PGP để apt có thể xác minh các gói:

 wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | tee /usr/share/keyrings/tor-archive-keyring.gpg >/dev/null

Cuối cùng, chúng tôi thực hiện cài đặt máy chủ Tor:

 sudo apt update sudo apt install tor deb.torproject.org-keyring

Xong!

Bây giờ chúng ta chỉ cần cấu hình nó.

Định cấu hình rơle Tor

Chỉ cần mở tệp cấu hình:

 sudo nano /etc/tor/torrc

Bạn muốn đảm bảo bỏ ghi chú (xóa # khỏi) các dòng sau:

 SocksPort 0 ORPort 443 Nickname whatevernameyouwant ExitPolicy reject *:* # no exits allowed ExitRelay 0

SocksPort 0 phải được đặt để nó hoạt động bình thường như một rơle.

ORPort có thể sẽ khác theo mặc định. Thay đổi nó thành 443 là lý tưởng nếu VPS này cũng không được sử dụng làm máy chủ web.

Nickname có thể là bất cứ thứ gì nhưng đừng để nó quá dài. Nó chỉ có thể chứa các chữ cái và số, không có ký tự đặc biệt hoặc khoảng trắng. Rơle Tor sẽ từ chối khởi động cho đến khi bạn thay đổi tên nếu bạn đặt tên quá dài và/hoặc đặt dấu cách hoặc ký tự đặc biệt vào.

Cuối cùng nhưng không kém phần quan trọng, dòng ExitPolicy reject : đảm bảo rằng rơle của bạn không hoạt động như một nút thoát. HÃY ĐẢM BẢO BẠN KHÔNG GHI XÉT NÀY! NÓ KHÔNG NÊN CÓ # TRƯỚC NÓ!

Tùy chọn ExitRelay 0 không được dùng nữa để thay thế cho tùy chọn ExitPolicy reject *:* ở trên, nhưng chúng không triệt tiêu lẫn nhau, vì vậy bạn có thể thêm cả hai để đảm bảo chắc chắn.

Dưới đây là một số ảnh chụp màn hình về thiết lập chính xác sẽ trông như thế nào. Hãy nhớ rằng tất cả những thứ này đã có sẵn, tất cả những gì bạn cần làm là xóa dấu # trước các bit bạn muốn kích hoạt!

SocksPort 0 phải được đặt để hoạt động ở chế độ chuyển tiếp

Phần “Chỉ dành cho rơle”:

ORPort 443 tương thích nhất nếu đây là VPS chuyên dụng, bạn có thể để lại địa chỉ nhận xét nếu chưa đặt tên miền, đặt biệt danh để nhận dạng rơle của bạn

Hãy hoàn toàn chắc chắn rằng bạn bỏ ghi chú dòng không được phép thoát như bên dưới:

RẤT QUAN TRỌNG: ĐẢM BẢO KHÔNG GHI CHÚ DÒNG KHÔNG ĐƯỢC PHÉP LỐI RA!

Không bắt buộc:

 Address yourdomain.com

Nếu bạn đã đặt tên miền cho VPS của mình trước đó, hãy nhập tên miền đó vào đây.

 RelayBandwidthRate 100 KB # Throttle traffic to 100KB/s (800Kbps) RelayBandwidthBurst 200 KB # But allow bursts up to 200KB/s (1600Kbps)

Phần trên có thể được bỏ ghi chú và điều chỉnh nếu bạn muốn điều chỉnh tốc độ băng thông. Điều này được đặt là tạm biệt mỗi giây, không phải bit mỗi giây. Bạn có thể chuyển đổi cả hai ở đây nếu bạn cần.

Bỏ ghi chú này để đặt giới hạn cố định cho lượng dữ liệu đi qua rơle hàng ngày:

 AccountingMax 4 GB AccountingStart day 00:00

Hoặc, nếu bạn muốn đặt băng thông tối đa mỗi tháng, hãy giữ dòng ngày được nhận xét và bỏ ghi chú dòng này để thay thế:

 AccountingStart month 3 15:00

Ảnh chụp màn hình của các cài đặt này:

Chỉ đặt nếu nhà cung cấp VPS của bạn yêu cầu

Bây giờ nhấn ctrl + O để lưu và ctrl + X để thoát.

Và cuối cùng chạy:

 sudo systemctl restart tor@default

Thế là xong, tiếp sức của bạn đã hết!

Bạn có thể xác minh nó đang hoạt động bằng cách đợi vài giây rồi kiểm tra nhật ký:

 sudo journalctl -xeu tor@default.service

Một thông báo như thế này có nghĩa là nó đang hoạt động:

 [your IP address:443] is reachable from the outside. Excellent. Publishing server descriptor.

Bạn sẽ thấy hai dòng tương tự nếu bạn đã bật cả IPv4 và IPv6.

Bước cuối cùng: bảo vệ DDoS tùy chọn

Mạng Tor thường là mục tiêu của các cuộc tấn công DDoS. Để giảm thiểu tác động của những điều này đối với chuyển tiếp của bạn, bạn có thể cài đặt một tập hợp các tập lệnh bash tự động cập nhật và áp dụng các quy tắc tường lửa mới để chặn các botnet đã biết một cách linh hoạt.

Trước tiên hãy đảm bảo rằng bạn đang ở trong thư mục chính của mình:

 cd pwd

Lệnh đầu tiên đưa bạn vào thư mục chính nếu bạn chưa ở đó. Cái thứ hai sẽ in /home/[username] để xác nhận bạn đang ở trong thư mục chính của mình.

Bây giờ hãy cài đặt các phụ thuộc và tập lệnh:

 sudo apt install ipset iptables curl wget https://raw.githubusercontent.com/Enkidu-6/tor-ddos/main/multi.sh wget https://raw.githubusercontent.com/Enkidu-6/tor-ddos/main/update.sh wget https://raw.githubusercontent.com/Enkidu-6/tor-ddos/main/refresh-authorities.sh wget https://raw.githubusercontent.com/Enkidu-6/tor-ddos/main/ipv4.txt wget https://raw.githubusercontent.com/Enkidu-6/tor-ddos/main/ipv6.txt

Bây giờ hãy mở ipv4.txt bằng nano :

 nano ipv4.txt

Xóa nội dung bao gồm nhận xét và nhập địa chỉ IPv4 thực tế của VPS của bạn, sau đó là cổng (443 nếu bạn thực hiện chính xác ở trên) ở định dạng sau:

 192.168.1.1:443

Như trước nhấn ctrl + O và ctrl + X để lưu và thoát.

Nếu IPv6 được bật, hãy mở ipv6.txt bằng nano và lặp lại thao tác trên ở định dạng sau:

 [abcd:efgh:1234:frfr:4002]:443

Nếu bạn không có IPv6, chỉ cần xóa tệp đó để nó trống.

Bây giờ chúng tôi làm cho các tập lệnh Shell có thể thực thi được:

 chmod a+x multi.sh chmod a+x update.sh chmod a+x refresh-authorities.sh

Và chạy tập lệnh multi.sh với quyền root để thiết lập:

 sudo ./multi.sh

Bây giờ nó sẽ in các quy tắc ipset “mangle” của bạn. Nếu có, nó đang hoạt động.

Cuối cùng, đặt crontab để nó cập nhật hàng ngày và khôi phục khi máy chủ khởi động lại sau khi cập nhật:

 (crontab -l ; echo "0 0 * * * $PWD/refresh-authorities.sh") | crontab -

Việc nhận được thông báo như no crontab for [username] là điều bình thường nếu bạn chưa thiết lập bất kỳ cronjob nào trước đó trên VPS này. Đừng chạy nó nữa.

Bạn có thể chắc chắn rằng nó đang hoạt động bằng cách chạy bên dưới:

 crontab -l

Nếu nó hiện cái này thì bạn là gucci:

 0 0 * * * /home/[username]/refresh-authorities.sh

Nếu bạn cần cập nhật các quy tắc này theo cách thủ công, chỉ cần chạy:

 sudo ./update.sh

Xong!

Bạn làm được rồi!

Nếu bạn đã đạt được điều này đến nay, làm tốt lắm! Bây giờ bạn có một rơle Tor!

Sau khoảng ba giờ, tìm kiếm biệt hiệu bạn đã đặt cho rơle của mình trên thư mục rơle Tor sẽ hiển thị biệt hiệu đó. Sau khi được lập chỉ mục, cùng với các chi tiết như (các) địa chỉ IP, bạn sẽ thấy các huy hiệu có nội dung “đang chạy” và “hợp lệ”.

Đừng lo lắng nếu trường băng thông trống và trọng số đồng thuận là 0. Điều này là bình thường đối với một nút hoàn toàn mới. Bài đăng này từ Tor giải thích quy trình kiểm tra các rơle mới trước khi chúng hoạt động hoàn toàn trên mạng.

TL; DR là họ sẽ không thấy nhiều lưu lượng truy cập trong ba ngày đầu tiên, sau đó khi mạng hiểu rõ hơn về lượng băng thông mà nó có, nó sẽ được xếp hạng và bắt đầu được sử dụng ngày càng nhiều trong các lần chuyển tiếp.

Vì bây giờ bạn có thể cảm thấy mình giống như Mr Robot, đây là một đường đua bệnh hoạn để ăn mừng!

https://www.youtube.com/watch?v=WV-vdI2CzMc

Làm tốt!

Bạn hiện đang giúp dự án Tor xuất sắc duy trì an toàn, phi tập trung, nhanh chóng và chống kiểm duyệt!

Thưởng thức nội dung này và muốn nhiều hơn nữa? Bạn có thể theo dõi tôi trên Twitter , TelegramNostr !

Sao chép/dán thủ công khóa công khai Nostr của tôi vào đây:

npub17rlc0emedw5xljztfqrmykjaacsx6ujvdas64zznjadrnhhwlavq4jjtgg

Muốn cho tôi một mẹo nhỏ? Bạn có thể đúc bài đăng này dưới dạng NFT trên Lạc quan với giá 0,01 ETH bằng cách sử dụng nút “thu thập” hoặc gửi cho tôi một số sats với xanny@getalby.com .

Bạn cũng có thể gửi một số BTC trực tuyến tại đây:

bc1qkeadruclrsr793w9rnv8mexatcv3wsttvckutz

Hoặc gửi một số XMR tại đây:

88LLuFL7QE94WtsaBHtpueZoYYT33f6KHNxaQ2fqPXEqXfwnfCty9Jq8GcKunfDnTAACawXgjdzyWWxFj1GrSUPdH1EMaJd

#StayOpsexy

<đăng ký://>

<sưu tầm://>

Mirror
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận