Настройка TOR-сервера для обхода блокировок в 2023 году

1. В 2023 году в Интернете произошла удивительная вещь! Вместо того, чтобы бороться за связность - сисопы и сисадмины начали опускать железный занавес самостоятельно! И ладно бы, только для корпоративных ремозиториев - свободное ПО перестает быть свободным и становится заложником политикнутых олухов!
2. ClamAV не доступен в России.
3. Grafana - аналогично.
4.  
5. Придется ставить ТОР на сервера, чтобы обновить их. Дожили...
6. Ситуации не помогает то, что ТОР и большая часть ТОРовских бриджей заблокирована не с той, а уже с этой стороны. Но Snowflake пока еще работает.
7. Итак, что нужно:
8.  
9. 0. Дистрибутив Debian
10. 1. Установить ТОР на debian: https://support.torproject.org/apt/tor-deb-repo/
11. 2. Собрать бридж. В принципе, скрипт все сделает:
12.  
13. #!/bin/bash
14. git clone https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake.git
15. wget https://go.dev/dl/go1.20.2.linux-amd64.tar.gz
16. rm -rf /usr/local/go && tar -C /usr/local -xzf go1.20.2.linux-amd64.tar.gz
17. echo 'export PATH=$PATH:/usr/local/go/bin/' >> /etc/profile
18. . /etc/profile
19. cd ./snowflake/client
20. go get && go build
21. cp ./client /etc/tor
22.  
23. 3. Заменить полностью содержимое /etc/tor/torrc вот на это:
24.  
25. SocksPort 127.0.0.1:9050
26. Exitpolicy reject *:*
27. ExitPolicy reject6 *:*
28. ExtORPort auto
29. #ExcludeNodes {ru},{ua},{by},{kz},{??}
30. StrictNodes 1
31. ExitRelay 0
32. UseBridges 1
33.  
34. ClientTransportPlugin snowflake exec /etc/tor/client \
35. -url https://snowflake-broker.torproject.net.global.prod.fastly.net/ \
36. -front cdn.sstatic.net \
37. -ice stun:stun.voip.blackberry.com:3478,stun:stun.antisip.com:3478,stun:stun.bluesip.net:3478,stun:stun.dus.net:3478,stun:stun.epygi.com:3478,stun:stun.sonetel.com:3478,stun:stun.sonetel.net:3478,stun:stun.uls.co.za:3478,stun:stun.voipgate.com:3478,stun:stun.voys.nl:3478
38.  
39. Bridge snowflake 192.0.2.3:1
40.  
41. 3. Остановить сервис tor.service и заменить содержимое его файлика /lib/systemd/system/tor.service (а затем выполнить systemctl daemon-reload и рестартовать tor.service):
42.  
43. [Unit]
44. Description=Anonymizing overlay network for TCP
45. After=syslog.target network.target nss-lookup.target
46. PartOf=tor-master.service
47. ReloadPropagatedFrom=tor-master.service
48.  
49. [Service]
50. Type=simple
51. ExecStartPre=/usr/bin/tor --runasdaemon 0 --defaults-torrc /usr/share/tor/tor-service-defaults-torrc -f /etc/tor/torrc --verify-config
52. ExecStart=/usr/bin/tor --runasdaemon 0 --defaults-torrc /usr/share/tor/tor-service-defaults-torrc -f /etc/tor/torrc
53. ExecReload=/bin/kill -HUP ${MAINPID}
54. KillSignal=SIGINT
55. TimeoutSec=30
56. Restart=on-failure
57. RestartSec=1
58. LimitNOFILE=32768
59.  
60. # Hardening
61. PrivateTmp=yes
62. DeviceAllow=/dev/null rw
63. DeviceAllow=/dev/urandom r
64. InaccessibleDirectories=/home
65. InaccessibleDirectories=/root
66. InaccessibleDirectories=/run/user
67. ReadOnlyDirectories=/boot
68. ReadOnlyDirectories=/etc
69. ReadOnlyDirectories=/usr
70. ReadOnlyDirectories=/run
71. ReadOnlyDirectories=/var
72. ReadWriteDirectories=/run/tor
73. ReadWriteDirectories=/var/lib/tor
74. ReadWriteDirectories=/var/log/tor
75. CapabilityBoundingSet=CAP_SETUID CAP_SETGID CAP_NET_BIND_SERVICE CAP_DAC_READ_SEARCH
76. PermissionsStartOnly=yes
77.  
78. [Install]
79. WantedBy = multi-user.target
80.  
81. 4. Прописать в /etc/apt/apt.conf:
82.  
83. Acquire::http::Proxy "socks5h://127.0.0.1:9050";
84. Acquire::https::Proxy "socks5h://127.0.0.1:9050";
85.  
86. 5. Прописать этот прокси в систему, либо в конфиги конкретного софта.