Tor Guard and middle relay

Sicherheit von Debian

Das System immer auf dem neusten Stand halten
$ sudo apt update && sudo apt upgrade

Einen neuen User anlegen
$ sudo adduser <username>
und diesem sudo Rechte geben
$ sudo usermod -a -G sudo <username>

SSH neu starten mit Daten des neuen Users

SSH key erstellen
$ cd ~
$ mkdir .ssh
$ cd .ssh
$ touch authorized_keys
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys
$ cd ~/.ssh

ssh-keygen auf dem eigenen Gerät laufen lass
$ ssh-keygen -t ed25519 -C "comment"
Enter passphrase (empty for no passphrase)

Dann die Datei id_ed25519.pub (umbedingt den .pub) in das Verzeichnis .ssh auf dem Server kopieren
$ cat id_rsa.pub >> authorized_keys
den Key in authorized_keys kopieren lassen

SSH-Passwort-Authentifizierung deaktivieren
Root-Login aus der Ferne einschränken

$ sudo nano /etc/ssh/sshd_config
PasswordAuthentication yes
PermitRootLogin yes
ändern in
PasswordAuthentication no
PermitRootLogin no
Save and exit (CTRL+O, CTRL+X)
Danach den Dienst neu starten
$ sudo service sshd restart

Den Standard SSL Port ändern (Diesen dann in der Firewall xxx/tcp nicht vergessen)
$ sudo nano /etc/ssh/sshd_config
Port 22 mit dem gewünschten SSL Port Port xxx ersetzen und # entfernen nicht vergessen
Save and exit (CTRL+O, CTRL+X)
$ sudo service ssh restart

Firewall aktivieren (https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29)
$ sudo apt install ufw
SSL Port freigeben / hier werden dann auch die Ports aus der torrc freigegeben
$ sudo ufw allow ssh
$ sudo ufw allow xxx/tcp xxx ist der neue SSL Port
(Wichtig, da du sonst nicht mehr ins System kommst)
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing

Firewall starten
$ sudo ufw enable

Status abrufen
$ ufw status verbose
Regeln nummeriert auflisten lassen
$ sudo ufw status numbered

Fail2Ban installieren (https://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Debian)
$ sudo apt install fail2ban -y
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
$ sudo service fail2ban restart

Setup Fail2Ban
$ sudo nano /etc/fail2ban/jail.local
Meine Einstellungen:
bantime = 45m
findtime = 10m
maxretry = 3

Save and exit (CTRL+O, CTRL+X)

Tor installieren und Relay einrichten (https://community.torproject.org/relay/setup/guard/debian-ubuntu/)

Automatisch Update einrichten (https://community.torproject.org/relay/setup/guard/debian-ubuntu/)
$ sudo apt-get install unattended-upgrades apt-listchanges
$ sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Folgendes einfügen:
Unattended-Upgrade::Origins-Pattern {
"origin=Debian,codename=${distro_codename},label=Debian-Security";
"origin=TorProject";
};
Unattended-Upgrade::Package-Blacklist {
};
Unattended-Upgrade::Automatic-Reboot "true";
Save and exit (CTRL+O, CTRL+X)

$ sudo nano /etc/apt/apt.conf.d/20auto-upgrades
Folgendes einfügen:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::AutocleanInterval "5";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::Verbose "1";
Save and exit (CTRL+O, CTRL+X)

Test:
$ sudo unattended-upgrade --debug

Tor Package Repository in Debian? (https://support.torproject.org/apt/tor-deb-repo/)
Eventuell mit sudo su laufen eingerichtet

Tor Installieren: (https://community.torproject.org/relay/setup/guard/debian-ubuntu/)
$ sudo apt update
$ sudo apt install tor

Das Realy konfigurieren
$ sudo nano /etc/tor/torrc
Kompletten Inhalt der Datei löschen (Strg+K löscht zeilenweise)

Nickname myNiceRelay # Change "myNiceRelay" to something you like
ContactInfo your@e-mail # Write your e-mail and be aware it will be published
ORPort 443 # You might use a different port, should you want to
ExitRelay 0
SocksPort 0

Zusätzlichen Einstellungen:
_ORPort [Deine ipv6 Adresse ]:9001
ControlPort 9051 # You might use a different port, should you want to
DirPort 9034 # You might use a different port, should you want to
RelayBandwidthRate 120 Mbits # Damit ich nicht über meine 80TB Traffic im Monat komme
RelayBandwidthBurst 480 Mbits
Save and exit (CTRL+O, CTRL+X)

RelayBandwidthRate kann über https://www.calculator.net/bandwidth-calculator.html berechnet werden
RelayBandwidthBurst = 4xRelayBandwidthRate

Tor Neustart:
$ sudo systemctl restart tor@default

Nicht vergessen die verwendeten Ports müssen in ufw freigegeben werden

nyx installieren (https://nyx.torproject.org/)
$ sudo apt-get install nyx

Start nyx:
sudo -u debian-tor nyx

Am einfachsten eine Alias mit dem Befehl anlegen
$ sudo nano .bash_profile
alias startnyx="sudo -u debian-tor nyx"
Save and exit (CTRL+O, CTRL+X)

UptimeBot (https://uptimerobot.com/)**
IP und ORPort hinterlegen um benachrichtigt zu werden, wenn der Server nicht erreichbar ist

Weiterführende Informationen:
https://community.torproject.org/relay/setup/post-install/

Tascht euch mit der Community aus und habt keine Angst vor Fragen
Forum: https://forum.torproject.net
Matirx: https://matrix.to/#/#tor-relays:matrix.org
Mailing Lists: https://lists.torproject.org/cgi-bin/mailman/listinfo

Der Beitrag wird regelmäßig aktualisiert
alle Angaben ohne Gewähr