Configurer un serveur Tor


Le réseau Tor repose sur des contributeurs qui offrent de leur bande passante. Plus il y'aura de gens à faire tourner un serveur, plus le réseau sera rapide. Si vous avez au moins 20 kilo octets/s dans chaque sens, aidez Tor en le configurant comme serveur. Nous avons plusieurs options qui rendent Tor facile et agréable, par exemple la limitation de bande passante consommée, les contrôles sur ports de sortie pour que vous puissiez limiter votre expositions aux plaintes, et le support des adresses dynamiques.

Avoir des serveurs dans plein de lieux différents sur Internet c'est ce qui sécurise les utilisateurs. Vous auriez également d'avantage d'anonymat, puisque les sites distants ne pourraient pas savoir si une connexion vient de votre ordinateur ou si elle est relayée d'un autre.

Paramétrer un serveur Tor est facile et commode :

  • Tor a des fonctions intégrées pour la limitation de bande passante. De plus, si vous avez une ligne rapide mais souhaitez limiter le nombre d'octets échangés par jour (ou semaine ou mois) que vous offrez, regardez la fonctionnalité d'hibernation .
  • Chaque serveur Tor a une politique de sortie qui spécifie quelles sortes de trafic sortant sont autorisées ou refusées depuis ce serveur. Si vous êtes géné à l'idée de laisser des gens sortir par votre connexion, vous pouvez paramétrer Tor pour qu'il ne se connecte qu'a d'autres serveurs Tor.
  • Ce n'est pas grave que le serveur soit coupé de temps en temps. Les annuaires le note rapidement et stoppent la propagation du serveur. Assurez vous simplement que ça n'arrive pas trop souvent, puisque les connexions en cours dans le serveur seront coupées.
  • Nous pouvons prendre en compte les serveurs avec une adresse IP dynamique — veillez simplement à laisser l'option de configuration « Address » à vide, et Tor essayera de la deviner.
  • Si votre serveur est derrière un NAT et qu'il ne connait pas son adresse IP publique (par exemple si l'IP est 192.168.x.y), vous aurez à paramétrer une translation de port. La translation de port est dépendante du système mais cette entrée de la FAQ offre quelques exemple sur comment le faire.
  • Votre serveur va de manière passive estimer et propager sa capacité récente en terme de bande passante, ainsi les serveurs à fort débit attireront davantage d'utilisateurs que ceux en ayant un faible. Bien qu'avoir un serveur à petit débit soit tout de même utile.

Vous pouvez faire tourner un serveur Tor sur pratiquement n'importe quel système, mais voyez cette entrée de la FAQ pour vous documenter sur ceux qui fontionnent le mieux et les différents problèmes que vous seriez suceptibles de rencontrer.

Étape zéro : télécharger et installer Tor


Avant de commencer, vous devez vous assurer que Tor fonctionne correctement.

Pour les utilisateurs Windows, ceci signifie qu'au moins l'étape une du Guide d'installation de Tor sous Windows est faite. Les utilisateurs de Mac OS X doivent au moins avoir fait l'étape une du Guide d'installation de Tor sous OS X. Les utilisateurs Linux/BSD/Unix devraient au moins avoir fait l'étape une du guide d'installation de Tor sous Unix.

Si ça vous dit, vous pouvez également l'utiliser comme client pendant quelques temps pour savoir si ça fonctionne réellement.

Étape une : le paramétrer comme serveur


1. Verifiez que votre horloge est à l'heure. Si possible, synchronisez là sur un serveur de temps public.

2. Assurer vous que les résolutions de nom fonctionnent (c'est à dire que, votre ordinateur est en mesure de résoudre les adresses Internet correctement).

3. Éditer la partie basse de votre fichier torrc. (Voyez cette entrée de la FAQ pour l'aide.) Assurez vous de définir au moins les options Nickname et ORPort. Créez un DataDirectory si nécessaire, et prenez soin de lui attribuer les droits de l'utilisateur qui fera tourner Tor. Si vous souhaitez faire tourner plus d'un serveur, c'est possible, mais prenez soin de positionner l'option MyFamily sur l'ensemble de vos fichiers de configurations serveurs.

4. Si vous utilisez un pare-feu, ouvrez le port tel que les connections entrantes puissent atteindre le port que vous avez configuré (ORPort, et DirPort si vous l'avez activé). Assurez vous qu'il autorise toutes les connections sortantes pour que votre serveur puisse atteindre les autres serveurs Tor.

5. Relancer votre serveur. S'il trace n'importe quel dysfonctionnement, faites nous en part.

6. Inscrivez vous à la liste de diffusion or-announce. Il y a relativement peu de messages, et vous tiendra informé des nouvelles versions stables. Vous devriez aussi envisager de vous inscrire à or-talk (davantage de messages), où les versions de développement sont annoncées.

7. Jetez un œil sur le manuel. Le manuel pour la dernière version stable contient une liste de toutes les options de configuration possible pour, à la fois, les clients et les serveurs. Si vous utilisez la version de développement de Tor, le manuel est disponible ici.

Étape deux : assurez vous que ça fonctionne


Dès que votre serveur va tenter de se connecter au réseau, il va essayer de déterminer si le port que vous avez configuré est atteignable de l'extérieur. Ceci peut prendre jusqu'à 20 minutes. Jetez un œil sur les traces comme l' Self-testing indicates your ORPort is reachable from the outside. Excellent. Si vous ne voyez pas ce message, ça signifie que votre serveur n'est pas atteignable de l'extérieur — vous devriez revérifier vos pare-feux, vérifier qu'il teste l'adresse IP et le port que vous penser qu'il devrait tester, etc.

Quand votre serveur est joignable, il envoie un « descripteur de serveur » aux annuaires. Ceci permettra aux clients de connaitre quelle adresse, ports, clé, etc votre serveur utilise. Vous pouvez charger l'un des états du réseau et voir si vous trouvez dedans le nickname que vous avez configuré, pour être certain qu'il est là. Vous aurez probablement à attendre quelques secondes pour avoir un rafraichissement du répertoire.

Étape trois : une fois que ça marche


Nous recommandons tout aussi bien les étapes suivantes :

8. Lisez ce document pour avoir des idées sur comment accroitre la sécurité de votre serveur.

9. Décidez quelle politique de sortie vous souhaitez. Par défaut, votre serveur autorise l'accès à plusieurs services populaires, mais en restreint certains (comme le port 25) en raison des abus potentiels. Vous pouvez préférer une politique de sortie qui soit plus ou moins restrictive ; éditez votre fichier torrc de manière appropriée. Lisez l'entrée de la FAQ sur les les problèmes que vous seriez suceptible de rencontrer si vous utilisez la politique par défaut. Si vous choisissez une politique de sortie particulièrement ouverte, assurez vous que votre fournisseur d'accès est d'accord avec ce choix. S'il y'a des ressources que votre ordinateur ne peux atteindre (par exemple, vous êtes derrière un pare-feu restrictif ou un filtrage applicatif, prenez soin de les rejeter explicitement dans votre politique de sortie — sinon les utilisateurs de Tor seront également impactés.

10. Décidez de la limitation de débit. Le cable, les xDSL, et les utilisateurs qui ont une bande passante asymétrique (par exemple : plus de débit en téléchargement qu'en envoi) devraient limiter leur débit à la plus petite bande passante pour éviter les congestions. Voyez l'entrée FAQ sur la limitation de débit pour plus de détails.

11. Sauvegardez la clé privée de votre serveur Tor (stockée dans "keys/secret_id_key" de votre DataDirectory). C'est l'« identité » de votre serveur, et prenez soin de la garder en sécurité pour que personne ne puisse lire le trafic qui passe au travers de votre nœud. C'est un fichier critique à conserver si vous compter déplacer ou restorer votre serveur Tor si quelque chose se passe mal.

12. Si vous contrôlez le serveur de nom de votre domaine, n'hésitez pas à paramétrer votre nom d'hôte avec 'anonymous' or 'proxy' or 'tor-proxy', pour que les autres personnes voyant l'adresse dans les traces web puissent facilement comprendre ce qui se passe.

13. Si votre ordinateur ne fait pas tourner un serveur web, envisagez de changer l'option ORPort à 443 et votre DirPort à 80. Un certain nombre d'utilisateur Tor sont cloitrés derrière des pare-feux qui ne leur permettent que d'aller sur le web, et ce changement leur permettra d'atteindre votre serveur Tor. Les serveurs Win32 peuvent simplement changer leurs options ORPort et DirPort directement dans leur configuration torrc et relancer Tor. Les serveurs OS X ou Unix ne peuvent pas attacher directement ces ports (puisqu'ils doivent être lancé en root), alors ils doivent paramétrer une sorte de translation de port pour que les connections puissent atteindre leur serveur Tor. Si vos ports 80 et 443 sont déjà utilisés mais que vous souhaitez quand même aider, d'autres sont interessant comme les ports 22, 110, et 143.

14. Si votre serveur Tor apporte d'autres services sur la même adresse IP — comme par exemple un site web — assurez vous que les connexions au serveur web sont autorisées à partir de l'hôte local également. Vous devez faire ça parceque les clients Tor détecteront que le serveur Tor est le le chemin le plus sûr pour atteindre le serveur web, et construira toujours un chemin qui finira par votre serveur. Si vous ne souhaitez pas autoriser les connexions, vous devrez explicitement les rejeter dans votre politique de sortie.

15. (Unix uniquement). Créer un utilisateur séparé pour faire tourner le serveur. Si vous installez le paquet OS X ou deb ou rpm, ceci est déjà fait. Sinon, vous devez le faire à la main. (Le serveur Tor ne nécessite pas d'être lancé sous root, c'est une bonne pratique de ne pas le faire. Le lancer sous l'utilisateur 'tor' évite les problèmes avec identd et d'autres services qui détectent le nom d'utilisateur. Si vous êtes dans le genre paranoïaque, sentez vous libre de mettre Tor dans une prison chroot.)

16. (Unix uniquement.) Votre système d'exploitation limite probablement le nombre de fichier ouvert par processus à 1024 (voir moins). Si vous envisagez de faire tourner un nœud de sorti rapide, ceci ne sera sans doute pas suffisant. Sous Linux, vous ajoutez une ligne genre "toruser hard nofile 8192" à votre fichier /etc/security/limits.conf (ou toruser est l'utilisateur qui fait tourner le processus Tor), et ensuite relancer Tor s'il est installé comme paquet (ou déconnectez vous puis reconnectez vous si vous le lancez par vous même). Si ça ne fonctionne pas, voyez cette entrée de la FAQ pour d'autre suggestions permettant de faire "ulimit -n 8192" avant de lancer Tor.

17. Si vous installez Tor à partir d'une installation automatisée, il le lance probablement automatiquement pour vous au démarrage du système. Mais si vous l'installez par les sources, vous trouverez surement les scripts de demarrage situés dans contrib/tor.sh ou contrib/torctl utiles.

Quand vous changez la configuration de votre Tor, assurez vous qu'il fonctionne encore après les modifications. Assurez vous de bien positionner votre ligne « ContactInfo » dans le fichier torrc pour que nous puissions vous contacter en cas de mise à jour ou si quelque chose se passait mal. Si vous avez des problèmes ou des questions, voyez la section d'aide ou contactez nous sur la liste tor-ops. Merci de nous aider à faire croitre le réseau Tor !

Si vous avez des commentaires pour étoffer ce document, n'hésitez pas à nous en faire part. Merci !

Webmaster - Dernière modification : Fri Oct 12 15:47:30 2007 - Dernière compilation : Sat Oct 27 06:58:10 2007

Attention: Cette traduction peut être obsolète. La version anglaise originale est la 12076 alors que la version traduite est basée sur la 11729.

Cette page est aussi disponible dans les langues suivantes : Deutsch, English, español, Italiano, polski, Русский (Russkij), 中文(简) (Simplified Chinese).
Comment configurer la langue par défaut du document.