Mix-Server Konfiguration

From JonDonym Wiki
Revision as of 10:43, 13 March 2010 by Geko (Talk | contribs)
Jump to: navigation, search

File:En.png File:De.png

Contents

MixConfigTool installieren

Die Konfiguration der Mix-Server erfolgt mit einer komplexen XML-Datei. Um die Betreiber bei der Erstellung der Konfiguration zu unterstützen, bieten wir das MixConfigTool an. Das Tool sorgt dafür, dass eine fehlerfreie Konfiguration erstellt wird.

Das MixConfigTool ist eine Java-Anwendung. Man benötigt eine Java Laufzeitumgebung, um die Anwendung zu starten. Wir empfehlen Sun-Java6 oder OpenJDK6.

  • Für Windows kann man Java von der Website http://www.java.sun.com herunterladen.
  • Unter Linux/UNIX kann man Java mit der Paketverwaltung installieren. Nutzen sie die Pakete sun-java6-jre oder openjdk6-jre.

Das MixConfigTool steht als JAR-Datei zum Download bereit: MixConfig.jar. Nach dem Download startet man das Tool auf der Kommandozeile mit:

java -jar /path/to/MixConfig.jar

Debian/Ubuntu Paket

Für Debian und Ubuntu steht das MixConfigTool auch im Repository der JonDos GmbH zur Verfügung. Um das Repository zu nutzen, ist in der Datei /etc/apt/sources.list die folgende Zeile zu ergänzen. Dabei ist DISTRI durch die verwendete Distribution zu ersetzen. Im Moment werden lenny, squeeze, sid, intrepid, jaunty, karmic und lucid unterstützt.

deb http://debian.anonymous-proxy-servers.net DISTRI main

Das Repository ist mit dem OpenPGP Schlüssel 0xF1305880 signiert. Nach dem Download des Schlüssels ist der Fingerabdruck zu verifizieren und die Datei in den APT-Keyring einzufügen:

gpg --recv 0xF1305880
gpg --fingerprint 0xF1305880
fingerprint: 1866 F973 8C97 A3D6 56A4  E142 F510 0840 F130 5880
gpg --export 0xF1305880 | sudo apt-key add -

Danach kann man das MixConfigTool und eine evtl. noch benötigte Java Laufzeitumgebung installieren:

sudo apt-get update 
sudo aptitude install mix-config-tool

Nach der Installation findet man in der Programmgruppe Dienstprogramme einen Menüeintrag, um das Tool zu starten.

Mix Konfiguration erstellen

Nach dem Start des MixConfigTool wählt man den Button "Create new configuration..." und folgt dem Assistenten.

1. Schritt: Parameter zur Mix-Kaskade

Screen1.png
  • Es ist die Position des eigenen Mixes in der Kaskade zu wählen (Entry-, Middle oder Exit-Mix).
  • Für Premiumdienste ist die Option enable payment zu aktivieren.
  • Nur bei Entry-Mixen ist der Name der Kaskade einzutragen.
  • Es sind die Netzwerkschnittstellen und Ports zu konfigurieren, an denen der Mix lauscht.

Bei Entry-Mixen ist es üblich drei Ports für eingehende Verbindungen zu öffnen (80, 443 and 6544). Middle- und Exit-Mixe verwenden in der Regeln nur Port 6544, da nur eine Verbindung vom vorherigen Mix aktzeptiert wird. Vergessen sie nicht die Anpassung der Firewall-Regeln auf dem Server.

2. Schritt: Parameter für den Mix-Prozess

Screen2.png
  • Logging Optionen: Normalerweise wird man im Produktionsbetrieb die Logdateien in ein Verzeichnis schreiben. Größe und maximale Anzahl der alten Logdateien können angegeben werden. Der Mix kümmert sich selbstständig um die Rotation der Logdateien.
  • Die Logdaten können mit einem X.509-Zertifikat verschlüsselt werden. Das sollte unbedingt geutzt werden, wenn sensible Informationen ins Log geschrieben werden.
  • Es ist die UID eines niedrig privilegierten System-Users anzugeben. Der Mix wechselt nach dem Start zu dieser UID.
  • Die max. Anzahl der offenen Filedeskriptoren ist anzugeben, üblicherweise 32684.
  • Nur für Entry-Mixe ist die maximale Anzahl der Nutzer der Kaskade zu konfigurieren.
  • Wurde die Mix-Software mit der Option --enable-server_monitoring kompiliert, kann das Netzwerk-Interface und der Port spezifiziert werden, an welchem der Mix Statusinformationen bereitstellt.
  • Für kostenfreie Entry-Mixe ist die Bandbreitenbegrenzung (Traffic Shaping) der einzelenen Nutzer zu konfigurieren.

3. Schritt: Erstellen bzw. Importieren der Zertifikate

Screen3.png
  • Als Erstes ist das Operator-Zertifikat zu importieren bzw. zu erstellen (rechte Seite).
  • Um das Zertifikat zu erstellen, füllen sie die Angaben im unteren Bereich aus und wählen sie den Button Create. Nutzen sie ein starkes Passwort für den Schutz des privaten Schlüssels.
  • Dann ist das Mix-Zertifikat zu erstellen (linke Seite).
  • Die Angaben im unteren Bereich sind auszufüllen und der Button Create zu wählen. Dabei wird das Mix-Zertifikat mit dem Operator-Zertifikat signiert.
  • Abschließend sind die Zertifikate (public) zu exportieren und den Partner-Mixen zur Verfügung zu stellen.

Um das Oprator-Zertifikat von der JonDos GmbH signieren zu lassen, kann der Assistent eine E-Mail erstellen.

4. Schritt: Zertifikate der Partner-Mixe importieren

Screen4.png

An dieser Stelle können die Zertifikate der Partner-Mixe importiert werden. Um eine vollständige Validierung des Zertifizierungspfades zu gewährleisten, sind Mix- und Operator-Zertifikat zu importieren.

5. Schritt: Exit Mix Konfiguration

Screen5.png

Für Exit-Mixe ist die Netzwerkschnittstelle des Squid-Proxies zu konfigurieren (IP-Adresse + Port).

Nur für Premium-Exit-Mixe ist auch die Adresse des Dante SOCKS Proxies zu konfigurieren.

6. Schritt: CSR und Zertifikate an JonDos GmbH senden (optional)

Abschließend kann man eine E-Mail erstellen lassen, welche die Zertifikate und den CSR an die JonDos GmbH sendet. Man erhält ein signiertes Operator-Zertifikat per E-Mail als Antwort. Dieses Zertifikat ist unter 4. Schritt zu importieren.

Die JonDos GmbH kann den Austausch der Zertifikate zwischen den Betreibern organisieren.

Sind alle Angaben vollständig, kann man die Konfiguration speichern und auf den Server übertragen.

Personal tools