Help us understand the problem. What is going on with this article?

Linuxに安全にtorリレーをインストールする方法

More than 3 years have passed since last update.

IPアドレスを乗っ取られないセキュアなtorリレーの立て方を紹介します。

1. OS インストール

DebianUbuntu Server LTSが良いでしょう。理由は公式リポジトリからのインストールが簡単だからです。
Windowsのリレーはパフォーマンス的にオススメできません。

SSHの設定

公開鍵認証にして、 PasswordAuthentication を無効にして、sshデーモンを再起動してください。詳細はここでは書きません。

ファイアウォールの設定

apt-get install ufw
ufw limit ssh
ufw enable

安全のためufwを入れ、有効にしておきます。ついでに、sshもセキュアな設定にしておきます。
sshは22番であること前提です。

2. tor インストール

パターンA

Debianなら apt-get install tor で入るようですが、安定性のある古いバージョンとなります。
インストールしたら パターンB は読み飛ばして、次のステップ3 に進んでください

パターンB

パフォーマンスが欲しい場合、公式リポジトリから追加するのが良いです。まずは次のサイトにアクセスします。
https://www.torproject.org/docs/debian.html.en
tor.png

1: Debian、Ubuntuのバージョンを選び、リポジトリのアドレスを表示させます。
2: つぎに、 /etc/apt/sources.list.d/tor.list を作成し、 deb ... deb-src ... と表示される行を書いて保存します。
3: gpg keyringを追加します。

gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

4:
root権限で以下を実行します。Debianはsudoが入っておらず、その上sudoerの設定が必要ですので su - でやると簡単です。

apt-get update
apt-get install tor deb.torproject.org-keyring

3. tor 設定

/etc/tor/torrc を開き、以下の項目がアンコメントします。または、追記します。

RunAsDaemon 1
ORPort 443
DirPort 80
ExitPolicy reject *:* # no exits allowed
  • ORPort はTorのルーティングに使われるポートです。検閲がある国のファイアウォールを突破するため、443にしておくのが良いでしょう。
  • DirPort はTorのディレクトリを通知するためのポートです。同様の理由で80にします。
  • ExitPolicy は最も重要な項目です。ExitPolicy reject *:* と書くことで他人にIPを使わせるような Exitノード にならないようにします。

4. ファイアウォール再設定

先ほど設定したTorのポートを開けます。

ufw allow 443/tcp
ufw allow 80/tcp

5. arm のインストール (オプション)

arm コマンドを使うと、現在のステータス、トラフィックなどがグラフィカルなCUIで表示できます。

  • ControlPort 9051 を torrc に書き加えます。
    • DisableDebuggerAttachment 0 も書き加えるとなお良いでしょう
  • apt-get install tor-arm でインストールできます。
  • sudo arm コマンドでグラフィカルに様子が見れたり、接続者が確認できます

数日待ちます

  • 数時間待てば、 https://torstatus.blutmagie.de/ にリストされるようになります。
  • まず、速度が十分であれば fast フラグが立ちます
  • それから数日経つと、トラフィックが流れてきます。
  • guard フラグが立つと、Torユーザが一番最初に接続するサーバとして選ばれます。

おまけ

日本のTorユーザ数

userstats-relay-country-2012-01-01-off-2016-04-30-jp.png

  • 1 = 片山祐輔 遠隔操作ウイルス事件
    • 連日の報道によってTorが有名になりました
  • 2 = エドワード・スノーデン PRISM告発
    • 日本でもプライバシー意識が高まっていたようです

全世界のTorユーザ数

userstats-relay-country-2012-01-01-off-2016-04-30-all.png

Top 10

Country Mean daily users
United States  369657 (19.42 %)
Russia  219968 (11.56 %)
Germany  188702 (9.91 %)
France  114006 (5.99 %)
United Kingdom  84713 (4.45 %)
Italy  54930 (2.89 %)
Spain  53755 (2.82 %)
Brazil  49029 (2.58 %)
Japan  48620 (2.55 %)
Canada  42061 (2.21 %)

トラフィックのながれ

tf1.png
日本は少なすぎてパーティクルが見えませんでした。

Torのトラフィック

その他

さらなるチューニング

  • HardwareAccel 1 にしてAES-NIを有効に
    • 意味ない説ある (普通はTor内蔵ではなく、ダイナミックリンクのOpenSSLが使われる(?)ので、OpenSSL側でHWaccel有効になっていればこの設定は無意味)
    • 要検証。
  • ulimit -n のファイルディスクリプタ上限を上げる (C10k問題でググッてください)
  • torの複数プロセス化など
  • C10k問題的な対処。ソケット関連をチューニングします。
    • sysctl -w net.core.somaxconn=65535
keiya
筑波大生です
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした