Comment installer et sécuriser Mosquitto MQTT Messaging Broker sur Debian 10

MQTT est un protocole de messagerie de machine à machine, conçu pour fournir une communication de publication / abonnement légère aux périphériques «Internet of Things». Il est couramment utilisé pour la géolocalisation de parcs de véhicules, la domotique, les réseaux de capteurs environnementaux et la collecte de données à grande échelle.

Mosquitto est un serveur MQTT populaire (ou broker, dans le jargon MQTT) qui bénéficie d’un excellent support de la communauté et qui est facile à installer et à configurer.

Dans ce didacticiel, nous allons installer Mosquitto et configurer notre courtier afin qu’il utilise SSL pour sécuriser nos communications MQTT protégées par mot de passe.

Avant de commencer ce tutoriel, vous aurez besoin de:

Debian 10 a une version assez récente de Mosquitto dans son référentiel logiciel par défaut, nous pouvons donc l’installer à partir de là.

Commencez par vous connecter avec votre utilisateur non root et mettez à jour les listes de paquets en utilisant + apt update +:

Maintenant, installez Mosquitto en utilisant + apt install:

Par défaut, Debian démarrera le service Mosquitto après l’installation. Testons la configuration par défaut. Nous allons utiliser l’un des clients Mosquitto que nous venons d’installer pour souscrire à un sujet de notre courtier.

Topics sont des étiquettes auxquelles vous publiez des messages et auxquelles vous vous abonnez. Ils sont organisés en une hiérarchie, vous pouvez donc avoir, par exemple, + capteurs / extérieur / temp + et + capteurs / extérieur / humidité +. La façon dont vous organisez les sujets dépend de vous et de vos besoins. Tout au long de ce tutoriel, nous utiliserons un sujet de test simple pour tester nos modifications de configuration.

Connectez-vous une seconde fois à votre serveur pour disposer de deux terminaux côte à côte. Dans le nouveau terminal, utilisez + mosquitto_sub + pour vous abonner à la rubrique de test:

+ -h + est utilisé pour spécifier le nom d’hôte du serveur MQTT, et + -t + est le nom de la rubrique. Vous ne verrez aucune sortie après avoir tapé + ENTER + car + mosquitto_sub + attend les messages. Revenez sur votre autre terminal et publiez un message:

Les options de + mosquitto_pub + sont identiques à celles de + mosquitto_sub +, bien que cette fois, nous utilisions l’option additionnelle + -m + pour spécifier notre message. Appuyez sur + ENTER +, et vous devriez voir * hello world * apparaître dans l’autre terminal. Vous avez envoyé votre premier message MQTT!

Entrez + CTRL + C + dans le deuxième terminal pour sortir de + mosquitto_sub +, tout en maintenant la connexion au serveur ouverte. Nous allons l’utiliser à nouveau pour un autre test à l’étape 5.

Ensuite, nous sécuriserons notre installation en utilisant une authentification basée sur un mot de passe.

Configurons Mosquitto pour utiliser des mots de passe. Mosquitto inclut un utilitaire permettant de générer un fichier de mot de passe spécial appelé + mosquitto_passwd +. Cette commande vous invitera à entrer un mot de passe pour le nom d’utilisateur spécifié et à placer les résultats dans + / etc / mosquitto / passwd +.

Nous allons maintenant ouvrir un nouveau fichier de configuration pour Mosquitto et lui dire d’utiliser ce fichier de mots de passe pour exiger la connexion à toutes les connexions:

Cela devrait ouvrir un fichier vide. Coller dans ce qui suit:

/etc/mosquitto/conf.d/default.conf

Assurez-vous de laisser une fin de ligne à la fin du fichier.

+ allow_anonymous false + désactive toutes les connexions non authentifiées et la ligne + password_file + indique à Mosquitto où rechercher les informations sur l’utilisateur et le mot de passe. Enregistrez et quittez le fichier.

Nous devons maintenant redémarrer Mosquitto et tester nos modifications.

Essayez de publier un message sans mot de passe:

Le message devrait être rejeté:

Avant de réessayer avec le mot de passe, revenez à la fenêtre de votre deuxième terminal et abonnez-vous à la rubrique "test", en utilisant le nom d’utilisateur et le mot de passe cette fois:

Il devrait se connecter et s’asseoir, en attente de messages. Vous pouvez laisser ce terminal ouvert et connecté pendant le reste du didacticiel, car nous lui enverrons périodiquement des messages de test.

Publiez maintenant un message avec votre autre terminal, en utilisant à nouveau le nom d’utilisateur et le mot de passe:

Le message devrait passer comme à l’étape 1. Nous avons ajouté avec succès la protection par mot de passe à Mosquitto. Malheureusement, nous envoyons des mots de passe non chiffrés sur Internet. Nous allons résoudre ce problème en ajoutant le cryptage SSL à Mosquitto.

Pour activer le cryptage SSL, nous devons indiquer à Mosquitto où sont stockés nos certificats Let’s Encrypt. Ouvrez le fichier de configuration que nous avons précédemment lancé:

Collez ce qui suit à la fin du fichier, en laissant les deux lignes que nous avons déjà ajoutées:

/etc/mosquitto/conf.d/default.conf

Encore une fois, assurez-vous de laisser une fin de ligne à la fin du fichier.

Nous ajoutons deux blocs + auditeur + distincts à la configuration. Le premier, + listener 1883 localhost +, met à jour le programme d’écoute MQTT par défaut sur le port + 1883 +, ce à quoi nous nous sommes connectés jusqu’à présent. + 1883 + est le port MQTT standard non chiffré. La partie + localhost + de la ligne indique à Mosquitto de n’associer que ce port à l’interface localhost, de sorte qu’il ne soit pas accessible de l’extérieur. Les demandes externes auraient de toute façon été bloquées par notre pare-feu, mais il est bon d’être explicite.

+ listener 8883 + configure un auditeur crypté sur le port + 8883 +. Il s’agit du port standard pour MQTT + SSL, souvent appelé MQTTS. Les trois lignes suivantes, + certfile +, '+ cafile + , et' + keyfile +, toutes dirigent Mosquitto vers les fichiers Let’s Encrypt appropriés pour configurer les connexions chiffrées.

Enregistrez et quittez le fichier, puis redémarrez Mosquitto pour mettre à jour les paramètres:

Mettez à jour le pare-feu pour autoriser les connexions au port + 8883 +.

Maintenant, nous testons à nouveau avec + mosquitto_pub +, avec quelques options différentes pour SSL:

Notez que nous utilisons le nom d’hôte complet au lieu de + localhost +. Comme notre certificat SSL est émis pour ++, si nous essayons une connexion sécurisée à + ​​localhost +, nous obtiendrons une erreur indiquant que le nom d’hôte ne correspond pas au nom d’hôte du certificat (même s’ils pointent tous deux vers le même serveur Mosquitto). .

+ - capath / etc / ssl / certs / + active SSL pour + mosquitto_pub +, et lui indique où rechercher les certificats racine. Celles-ci sont généralement installées par votre système d’exploitation, le chemin est donc différent pour Mac OS, Windows, etc. + mosquitto_pub utilise le certificat racine pour vérifier que le certificat du serveur Mosquito a été correctement signé par l’autorité de certification Let’s Encrypt. Il est important de noter que + mosquitto_pub + et + mosquitto_sub + ne tenteront pas une connexion SSL sans cette option (ou l’option similaire + - cafile +), même si vous vous connectez au port sécurisé standard de `+ 8883 + `.

Si tout se passe bien avec le test, nous verrons à nouveau * bonjour * dans l’autre terminal + mosquitto_sub +. Cela signifie que votre serveur est entièrement configuré! Si vous souhaitez étendre le protocole MQTT pour qu’il fonctionne avec des websockets, vous pouvez suivre la dernière étape.

Afin de parler MQTT à l’aide de JavaScript à partir de navigateurs Web, le protocole a été adapté pour fonctionner sur des Websockets standard. Si vous n’avez pas besoin de cette fonctionnalité, vous pouvez ignorer cette étape.

Nous devons ajouter un autre bloc + auditeur + à notre config Mosquitto:

A la fin du fichier, ajoutez ce qui suit:

/etc/mosquitto/conf.d/default.conf

Encore une fois, assurez-vous de laisser une fin de ligne à la fin du fichier.

Ceci est généralement identique au bloc précédent, à l’exception du numéro de port et de la ligne + protocole websockets +. Il n’y a pas de port officiel normalisé pour MQTT sur les websockets, mais + 8083 + est le plus courant.

Enregistrez et quittez le fichier, puis redémarrez Mosquitto.

Maintenant, ouvrez le port + 8083 + dans le pare-feu.

Pour tester cette fonctionnalité, nous allons utiliser un client MQTT public basé sur un navigateur. Il en existe quelques-uns, mais le Eclipse Paho JavaScript Client est simple et facile à utiliser. Ouvrez le client Paho dans votre navigateur. Vous verrez ce qui suit:

image: http: //assets.digitalocean.com/articles/mosquitto/paho-update.png [Écran du client Paho]

Remplissez les informations de connexion comme suit:

Les champs restants peuvent être laissés à leurs valeurs par défaut.

Après avoir appuyé sur * Connect *, le client basé sur un navigateur Paho se connectera à votre serveur Mosquitto.

Pour publier un message, accédez au volet * Publish Message *, remplissez * Topic * en tant que * test * et entrez un message dans la section * Message *. Ensuite, appuyez sur * Publier *. Le message s’affichera dans votre terminal + mosquitto_sub.

Nous avons maintenant configuré un serveur MQTT sécurisé, protégé par un mot de passe et sécurisé par SSL. Cela peut servir de plate-forme de messagerie robuste et sécurisée pour tous vos projets. Certains logiciels et matériels courants qui fonctionnent bien avec le protocole MQTT comprennent:

Ce ne sont que quelques exemples populaires de l’écosystème MQTT. Il y a beaucoup plus de matériel et de logiciels qui parlent le protocole. Si vous avez déjà une plate-forme matérielle favorite ou un langage logiciel, celle-ci dispose probablement des fonctionnalités MQTT. Amusez-vous à parler de vos «choses»!