Little-t-tor

Atenção: Estas instruções destinam-se à instalação tor do daemon de rede, ou seja, little-t-tor. Para obter instruções sobre como instalar o navegador Tor, consulte o manual do usuário do navegador Tor.

Acesso de administrador: Para instalar o Tor você precisa de privilégios de root. Abaixo, todos os comandos que precisam ser executados como usuário root, como "apt" e "dpkg", são prefixados com "#", enquanto os comandos a serem executados como usuário, são prefixados com "$", semelhante ao prompt padrão em um terminal. Para abrir um terminal root você tem várias opções: "sudo su", ou "sudo -i", ou "su -i". Observe que "sudo" pede sua senha de usuário, enquanto "su" espera a senha root do seu sistema.

Debian / Ubuntu

Não utilize os pacotes do universo Ubuntu. No passado, eles não eram atualizados com segurança. Isso significa que você pode estar perdendo correções de estabilidade e segurança.

  • Configure Tor package repository

Habilitar o repositório Tor Project APT seguindo as instruções.

  • Instalação de pacote

# apt install tor

Fedora

  • Configure Tor Package repository

Habilitar o repositório de pacotes RPM do Projeto Tor seguindo as instruções.

  • Instalação de pacote

# dnf install tor

FreeBSD

  • Instalação de pacote

# pkg install tor

OpenBSD

  • Instalação de pacote

# pkg_add tor

macOS

  • Install a package manager

Existem dois gerenciadores de pacotes no OS X: Homebrew e Macports. Você pode usar o gerenciador de pacotes de sua preferência.

Para instalar o Homebrew siga as instruções em brew.sh.

Para instalar o Macports siga as instruções em macports.org/install.php.

  • Instalação de pacote

Se você estiver usando o Homebrew em uma janela do Terminal, execute:

# brew install tor

Se você estiver usando Macports em uma janela do Terminal, execute:

$ sudo port install tor

Arch Linux

  • To install the tor package on Arch Linux, run:
# pacman -Syu tor

DragonFlyBSD

  • Bootstrap pkg

Os snapshots e lançamentos diários do DragonFlyBSD (começando com 3.4) vêm com o pkg já instalado. Atualizações de versões anteriores, entretanto, não terão isso. Se o pkg estiver faltando no sistema por qualquer motivo, ele poderá ser inicializado rapidamente sem a necessidade de compilá-lo a partir do código-fonte ou mesmo ter o DPorts instalado:

# cd /usr
# make pkg-bootstrap
# rehash
# pkg-static install -y pkg
# rehash
  • Recommended steps to setup pkg

Aqui, será semelhante ao que temos em um sistema FreeBSD, e usaremos HTTPS para buscar nossos pacotes e atualizações - então aqui também precisamos de um pacote extra para nos ajudar (ca_root_nss ).

Instalando pacote ca_root_nss:

# pkg install ca_root_nss

Para novas instalações, o arquivo /usr/local/etc/pkg/repos/df-latest.conf.sample é copiado para /usr/local/etc/pkg/repos/df-latest. Os arquivos que terminam com a extensão ".sample" são ignorados; O pkg(8) lê apenas arquivos que terminam em ".conf" e irá ler quantos encontrar.

DragonflyBSD possui 2 repositórios de pacotes:

  • Avalon (mirror-master.dragonflybsd.org);
  • Wolfpond (pkg.wolfpond.org).

Podemos simplesmente editar a URL usada para apontar os repositórios em /usr/local/etc/pkg/repos/df-latest e pronto! Lembre-se de usar pkg+https:// para Avalon.

Após aplicar todas essas alterações, atualizamos novamente a lista de pacotes e tentamos verificar se já existe uma nova atualização para aplicar:

# pkg update -f
# pkg upgrade -y -f
  • Instalação de pacote

Instale o pacote tor:

# pkg install tor

NetBSD

  • Setup pkg_add

Versões modernas do sistema operacional NetBSD podem ser configuradas para usar o pkgin, que é um software semelhante ao apt ou yum para gerenciar pacotes binários do pkgsrc. Não estamos convertendo sua configuração aqui e optamos por usar pkg_add simples.

# echo "PKG_PATH=http://cdn.netbsd.org/pub/pkgsrc/packages/NetBSD/$(uname -m)/$(uname -r)/All" > /etc/pkg_install.conf
  • Instalação de pacote

Instalar pacote tor do NetBSD:

# pkg_add tor

Void Linux

Para instalar o pacote tor no Void Linux, execute:

# xbps-install -S tor

Instalando o Tor a partir da fonte

  • Download latest release and dependencies

A versão mais recente do Tor pode ser encontrada na página de download.

Se você estiver compilando a partir do código-fonte, primeiro instale libevent e certifique-se de ter o openssl e o zlib (incluindo os pacotes -devel, se aplicável).

  • Install Tor

    tar -xzf tor-0.4.3.6.tar.gz; cd tor-0.4.3.6

    ./configure && make

Agora você pode executar o tor como src/app/tor (0.4.3.x e posterior), ou você pode executar make install (como root se necessário) para instalá-lo em /usr/local/, e então você pode iniciar apenas executando o tor.

Atenção: Estas instruções são para verificar o código-fonte do tor. Siga as instruções corretas para verificar a assinatura do Navegador Tor.

Assinatura digital é um processo que certifica que um determinado pacote foi gerado pelas pessoas que o desenvolveram e que não sofreram nenhuma alteração. Abaixo explicamos por que isso é importante e como verificar se o código-fonte do tor que você baixou é aquele que criamos e não foi modificado por algum invasor .

Cada arquivo em nossa página de download é acompanhado por dois arquivos rotulados como "checksum" e "sig" com o mesmo nome do pacote e a extensão ". sha256sum" e ".sha256sum.asc" respectivamente.

O arquivo .asc irá verificar se o arquivo .sha256sum (contendo a soma de verificação do pacote) não foi adulterado. Uma vez validada a assinatura (veja abaixo como fazer isso), a integridade do pacote pode ser validada com:

$ sha256sum -c *.sha256sum

Esses arquivos permitem que você verifique se o arquivo baixado é exatamente aquele que pretendíamos que você obtivesse. Isso varia de acordo com o navegador da web, mas geralmente você pode baixar esse arquivo clicando com o botão direito do mouse no link “sig” e “checksum” e selecionando a opção “salvar arquivo como”.

Por exemplo, tor-0.4.6.7.tar.gz é acompanhado por tor-0.4.6.7.tar.gz.sha256sum.asc. Estes são exemplos de nomes de arquivos e não irão corresponder exatamente aos nomes dos arquivos que você baixou.

Agora vamos lhe mostrar como você pode verificar a assinatura digital de cada documento baixado em vários sistemas operacionais. Por favor, lembre que a assinatura é datada do momento em que o pacote foi assinado. Assim, todas as vezes que um novo documento for carregado, uma nova assinatura é gerada com a nova data. Se você tiver verificado a assinatura, não se preocupe com a mudança das datas.

Instalando GnuPG

Primeiro de tudo você precisa ter o GnuPG instalado antes de verificar as assinaturas.

Para quem usa Windows:

Se você utiliza Windows, baixe o Gpg4win e execute o instalador.

Para verificar a assinatura, você precisará digitar alguns comandos na linha de comando do Windows, cmd.exe.

Para usuários do macOS:

Se você estiver utilizando macOS, pode instalar o GPGTools.

Para verificar a assinatura, você precisará digitar alguns comandos no Prompt de Comando do Windows (ver "Aplicações").

Para quem usa GNU/Linux:

Se você está usando GNU/Linux, então provavelmente já tem o GnuPG em seu sistema, já que a maioria das distribuições Linux já o possui pré-instalado.

Para verificar a assinatura você precisará digitar alguns comandos em uma janela de terminal. Como fazer isso irá variar dependendo da sua distribuição.

Buscando a chave de desenvolvedores do Tor

As seguintes chaves podem assinar o tarball. Não espere todos, isso pode variar dependendo de quem está disponível para fazer o lançamento.

Você pode buscar a chave com os links fornecidos acima ou com:

$ gpg --auto-key-locate nodefault,wkd --locate-keys ahf@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys dgoulet@torproject.org
$ gpg --auto-key-locate nodefault,wkd --locate-keys nickm@torproject.org

Isso deve mostrar algo como (para nickm):

gpg: key FE43009C4607B1FB: public key "Nick Mathewson <nickm@torproject.org>" imported
gpg: Número total processado: 1
gpg:               importado: 1
pub   rsa4096 2016-09-21 [C] [expires: 2025-10-04]
      2133BC600AB133E1D826D173FE43009C4607B1FB
uid           [ unknown] Nick Mathewson <nickm@torproject.org>
sub   rsa4096 2016-09-23 [S] [expires: 2025-10-04]
sub   rsa4096 2016-09-23 [E] [expires: 2025-10-04]

Se você receber uma mensagem de erro, algo deu errado e você não poderá continuar até descobrir por que isso não funcionou. Você pode importar a chave usando a seção Solução alternativa (usando uma chave pública).

Após importar a chave, você pode salvá-la em um arquivo (identificando-o através dessa impressão digital):

$ gpg --output ./tor.keyring --export 0x2133BC600AB133E1D826D173FE43009C4607B1FB

Este comando resulta em salvar a chave em um arquivo encontrado no caminho ./tor.keyring, ou seja, no diretório atual. Se ./tor.keyring não existe após a execução deste comando, algo deu errado e você não pode continuar até descobrir por que isso não funcionou.

Verificando a assinatura

Para verificar a assinatura do pacote que você baixou, você precisará baixar o arquivo de assinatura .sha256sum.asc correspondente e o próprio arquivo .sha256sum, e verificá-lo com um comando que pede ao GnuPG para verificar o arquivo que você baixou .

Os exemplos abaixo consideram que você tenha baixado estes dois arquivos para a pasta "Downloads". Observe que estes comandos usam exemplos de nomes de documentos e os seus serão diferentes: você terá baixado uma versão diferente da 9.0 e você pode não ter escolhido a versão em Inglês (en-US).

Para quem usa Windows:

gpgv --keyring .\tor.keyring Downloads\tor-0.4.6.10.tar.gz.sha256sum.asc Downloads\tor-0.4.6.10.tar.gz.sha256sum

Para usuários do macOS:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

Para usuários BSD/Linux:

gpgv --keyring ./tor.keyring ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum.asc ~/Downloads/tor-0.4.6.10.tar.gz.sha256sum

O resultado do comando deve produzir algo assim (dependendo de qual chave o assinou):

gpgv: Signature made Mon 16 Aug 2021 04:44:27 PM -03
gpgv:                using RSA key 7A02B3521DC75C542BA015456AFEE6D49E92B601
gpgv: Good signature from "Nick Mathewson <nickm@torproject.org>"

Se você receber mensagens de erro contendo 'Nenhum arquivo ou diretório', algo deu errado com uma das etapas anteriores ou você esqueceu que esses comandos usam nomes de arquivo de exemplo e o seu será um pouco diferente.

Você também pode aprender mais sobre GnuPG.

Verificando soma de verificação

Agora que validamos as assinaturas do checksum, precisamos verificar a integridade do pacote.

Para quem usa Windows:

certUtil -hashfile tor-0.4.6.10.tar.gz.sha256sum SHA256

Para usuários do macOS:

shasum -a 256 tor-0.4.6.10.tar.gz.sha256sum

Para usuários BSD/Linux:

sha256sum -c tor-0.4.6.10.tar.gz.sha256sum