Héberger un exit TOR sur Debian

1/52/53/54/55/5 (2 votes, moyenne: 3,00 sur 5)
Loading...
H

Attention, cet article a plus d'une année d'ancienneté. Il est possible que les informations présentées ne soient plus à jour, spécialement dans le cadre d'un article technique.


Bonjour à tous,

Aujourd’hui, on va voir comment héberger un exit TOR sur Debian 8.

 

L’exit TOR au regard de la loi :

Techniquement, hébergement d’un exit TOR est légal aux yeux de la loi en France et dans tous les pays de l’Union européenne.

Pour citer l’association Nos Oignons qui a très bien résumé la chose :

Un relai Tor est un simple transporteur d’information (mere conduit) au sens de l’article 12 de la directive européenne 2000/31/CE du 8 juin 2000 : nous ne sommes pas à l’origine des transmissions, nous ne sélectionnons pas les destinataires des transmissions, nous ne sélectionnons pas et ne modifions pas les informations faisant l’objet des transmissions. Nous ne sommes donc pas responsables des informations que nous relayons.

Cet article a été transcrit en droit français par l’article L32-3-3 du Code des Postes et Communication Électroniques.

 

L’exit TOR chez les FAI :

C’est là que ça se corse.

Pour rester sur le cas français, on va voir le cas des plus gros hébergeurs de l’hexagone :

  • Chez Gandi, a priori c’est OK pour les exit TOR PAR CONTRE la bande passante est facturée, donc ça peut vite vous couter bonbon.
  • Chez OVH c’est OK tant qu’ils ne reçoivent pas d’abuse (donc en gros c’est nein, vu que vous recevrez des abuses en moins d’une semaine).
  • Chez Online, c’est nein, vous pouvez lire leur point de vue ici : https://forum.online.net/index.php?/topic/4642-do-you-allow-tor/#entry24618

 

Si vous cherchez des infos sur des fournisseurs un peu moins regardants / plus ouverts, TOR Project tiens à peu près à jour une liste disponible ici : https://trac.torproject.org/projects/tor/wiki/doc/GoodBadISPs

L’exit TOR dans l’ambiance actuelle :

On ne va pas se relancer dans des débats qui ont lieu depuis plus d’une année maintenant, mais globalement ça craint de balancer comme ça des exit TOR à tor et à travers (tu l’as, c’est bon ?).

Dernier exemple français qui me vient comme ça, c’est celui de Nicolas Houdoin qui a fini à la gendarmerie pour des choses pas très catholiques (enfin, quoique ça se rapproche plutôt bien des affaires de certains prêtres) postées depuis son IP.

En Amérique un couple s’est aussi retrouvé avec les flics qui ont débarqué à 6 du matin.

 

Mon avis à moi ? N’hébergez pas un relais tor tout seul dans votre coin, sous aucun prétexte sauf si vous voulez une bande de cinglés qui se couvrent sur votre nom et la moitié de la justice du caillou surlequel on vit au derrière.

L’union fait la force, renseignez-vous et aidez l’association fournissant des exit TOR dans votre pays aussi bien humainement que financièrement. En France vous pouvez apporter votre soutien à Nos Oignons.

Vous pourrez même déduire ça des impôts, elle n’est pas belle la vie ?

 

L’installation d’un relais TOR :

Oui, parce que même si je ne vous recommande pas d’en avoir un, vous êtes libres de faire ce que vous voulez et moi je suis libre de vous expliquer comment le faire (m’enfin, pour l’instant quoi).

 

Dans un premier temps, ouvrez votre fichier sources.list :

nano /etc/apt/sources.list

 

Et ajoutez les lignes suivantes :

deb http://deb.torproject.org/torproject.org jessie main
deb-src http://deb.torproject.org/torproject.org jessie main

 

Récupérez les clés de signature des dépôts :

gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -

 

Et installez TOR :

apt-get update && apt-get install tor deb.torproject.org-keyring -y

 

Ouvrez le fichier de configuration de TOR :

nano /etc/tor/torrc

 

Et ajoutez ceci à la fin (en changeant les ports si nécessaire et les informations de contact) :

ORPort 443
Nickname changemetaptest
ContactInfo 0xFFFFFFFF Article TAP <tap AT abyssproject dot net>
DirPort 80
DirPortFrontPage /etc/tor/tor-exit-notice_FR.html

 

Maintenant, téléchargez une page d’information pour votre relais (si des gens tombent sur l’adresse IP) :

cd /etc/tor
wget https://raw.githubusercontent.com/chgans/tor-exit-notice/master/tor-exit-notice_FR.html

 

Le problème, c’est que si on redémarre TOR comme ça, l’exit va être open-bar. Moyennement bien, on peut donc bloquer quelques trucs pour s’éviter des ennuis et aussi pour améliorer le réseau TOR (en évitant le streaming, le torrent et autres par son biais).

Vous pouvez déjà choisir une des exit policy fournie par le TOR Project : https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy

Ensuite, vous pouvez prendre les listes de réseaux à bloquer sur Tor Null : https://www.tornull.org/

Ça permet de filtrer un peu ce qui passe sur votre exit pour nettoyer quelques saloperies.

 

Redémarrez ensuite TOR pour appliquer la configuration :

service tor restart

 

Ensuite, ouvrez le log :

cat /var/log/tor/log

 

Vous devriez voir quelque chose comme cela :

Sep 18 11:59:35.000 [notice] Bootstrapped 80%: Connecting to the Tor network
Sep 18 11:59:35.000 [notice] Bootstrapped 90%: Establishing a Tor circuit
Sep 18 11:59:36.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
Sep 18 11:59:36.000 [notice] Bootstrapped 100%: Done
Sep 18 11:59:36.000 [notice] Now checking whether ORPort 46.101.234.18:443 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
Sep 18 11:59:36.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
Sep 18 11:59:38.000 [notice] Performing bandwidth self-test...done.

 

Et vous pourrez récupérer votre fingerprint avec cette commande :

cat /var/lib/tor/fingerprint

 

L’adresse complète de l’exit dans cet exemple est :

46.101.234.18:443 78AD7302F6767E27A029C072550523FB345E2587

 

Maintenant, vous devrez protéger votre serveur avec un pare-feu comme UFW et vous devrez aussi sécuriser l’accès SSH à votre serveur pour faire un bon exit 🙂

A propos de l'auteur

Nicolas Simond

Ingénieur Systèmes et Réseaux et guitariste hard rock et metal à mes heures perdues.
Je suis le créateur et l'unique rédacteur d'Abyss Project, c'est ici que je note la plupart de mes procédures et quelques divagations.

Si vous l'article vous a aidé, pensez à me payer un café :)

Subscribe
Notify of
guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

2 Commentaires
Plus récents
Plus anciens Populaires
Inline Feedbacks
View all comments
Mathias
7 années plus tôt

Hello,

Les choses ont peut-être un peu changées chez Online.net, j’ai eu une discussion récemment avec des admins sur le salon de discussion IRC. Il en est ressorti cela : pas de soucis, vous faites ce que vous voulez avec vos serveurs mais sachez que nous répondrons à toute demande de la part des autorités.
Je pense qu’en disant ça illes font allusions au fait que dans le cadre d’une enquête un serveur peux être « saisi », en gros l’accès au client coupé, etc. Chose qui apparement est fait quasiment systématiquement…

À plus