Ubuntu 16.04にMosquitto MQTT Messaging Brokerをインストールして保護する方法

前書き

MQTTは、「モノのインターネット」デバイスへの軽量のパブリッシュ/サブスクライブ通信を提供するように設計された、マシンツーマシンメッセージングプロトコルです。 一般的に、車両のジオトラッキング車両、ホームオートメーション、環境センサーネットワーク、ユーティリティスケールのデータ収集に使用されます。

Mosquittoは人気のあるMQTTサーバー(またはMQTT用語ではbroker)であり、優れたコミュニティサポートがあり、インストールと構成が簡単です。

このチュートリアルでは、Mosquittoをインストールし、Let’s EncryptからSSL証明書を取得し、SSLを使用してパスワードで保護されたMQTT通信を保護するようにブローカーを設定します。

前提条件

このチュートリアルを開始する前に、次のものが必要です。

[[step-1 -—- installing-mosquitto]] ==ステップ1—Mosquittoのインストール

Ubuntu 16.04には、デフォルトのソフトウェアリポジトリにMosquittoのかなり最近のバージョンがあります。 root以外のユーザーでログインし、apt-getを使用してMosquittoをインストールします。

sudo apt-get install mosquitto mosquitto-clients

デフォルトでは、Ubuntuはインストール後にMosquittoサービスを開始します。 デフォルトの構成をテストしましょう。 インストールしたMosquittoクライアントの1つを使用して、ブローカーのトピックをサブスクライブします。

Topicsは、メッセージを公開およびサブスクライブするラベルです。 これらは階層として配置されているため、たとえば、sensors/outside/tempsensors/outside/humidityを使用できます。 トピックの配置方法は、あなたとあなたのニーズ次第です。 このチュートリアルでは、簡単なテストトピックを使用して構成の変更をテストします。

サーバーに2回ログインすると、2つの端末が並んでいます。 新しいターミナルで、mosquitto_subを使用してテストトピックをサブスクライブします。

mosquitto_sub -h localhost -t test

-hはMQTTサーバーのホスト名を指定するために使用され、-tはトピック名です。 mosquitto_subはメッセージの到着を待機しているため、ENTERを押しても出力は表示されません。 他の端末に切り替えて、メッセージを公開します。

mosquitto_pub -h localhost -t test -m "hello world"

mosquitto_pubのオプションはmosquitto_subと同じですが、今回は追加の-mオプションを使用してメッセージを指定します。 ENTERを押すと、他の端末にhello worldがポップアップするはずです。 最初のMQTTメッセージを送信しました!

2番目の端末にCTRL+Cを入力して、mosquitto_subを終了しますが、サーバーへの接続は開いたままにします。 手順5の別のテストで再び使用します。

次に、新しいLet's EncryptクライアントであるCertbotを使用して、SSLでインストールを保護します。

[[step-2 -—- installing-certbot-for-let-39-s-encrypt-certificates]] ==ステップ2— Let’sEncrypt証明書用のCertbotのインストール

Let's Encryptは、自動化されたAPIを介して無料のSSL証明書を提供する新しいサービスです。 APIと通信できるクライアントは多数あり、Ubuntuにはデフォルトのリポジトリに公式クライアントが含まれていますが、これは少し古く、必要な重要な機能が1つもありません。

代わりに、Ubuntu PPAまたはPersonal Package Archiveから公式クライアントをインストールします。 これらは、より新しいまたはより不明瞭なソフトウェアをパッケージ化する代替リポジトリです。 まず、リポジトリを追加します。

sudo add-apt-repository ppa:certbot/certbot

受け入れるには、ENTERを押す必要があります。 その後、パッケージリストを更新して、新しいリポジトリのパッケージ情報を取得します。

sudo apt-get update

最後に、certbotという公式のLet’sEncryptクライアントをインストールします。

sudo apt-get install certbot

certbotがインストールされたので、それを実行して証明書を取得しましょう。

[[step-3 -—- running-certbot]] ==ステップ3—Certbotの実行

certbotは、ドメインを制御していることを証明するために、Let’s EncryptAPIによって発行された暗号化チャレンジに回答する必要があります。 これを実現するために、ポート80(HTTP)および/または443(HTTPS)を使用します。 ポート80のみを使用するので、今すぐそのポートでの着信トラフィックを許可しましょう。

sudo ufw allow http
OutputRule added

これで、Certbotを実行して証明書を取得できます。 --standaloneオプションを使用して、HTTPチャレンジリクエストを独自に処理するようにCertbotに指示し、--standalone-supported-challenges http-01は通信をポート80に制限します。 -dは、証明書が必要なドメインを指定するために使用され、certonlyは、他の構成手順を実行せずに証明書を取得するようにCertbotに指示します。

sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d mqtt.example.com

コマンドを実行すると、メールアドレスを入力し、利用規約に同意するよう求められます。 そうすると、プロセスが正常に完了し、証明書が保存されている場所を示すメッセージが表示されます。

証明書を取得しました。 次に、Certbotが期限切れになったときに自動的に更新するようにする必要があります。

[[step-4 -—- setting-up-certbot-automatic-renewals]] ==ステップ4—Certbot自動更新の設定

Let's Encryptの証明書は90日間のみ有効です。 これは、ユーザーが証明書の更新プロセスを自動化することを奨励するためです。 有効期限が切れる証明書を確認して自動的に更新するために、定期的に実行するコマンドを設定する必要があります。

更新チェックを毎日実行するために、定期的なジョブを実行するための標準システムサービスであるcronを使用します。 crontabというファイルを開いて編集することにより、cronに何をすべきかを指示します。

sudo crontab -e

テキストエディタを選択するよう求められます。 お気に入りを選択すると、ヘルプテキストが含まれているデフォルトのcrontabが表示されます。 ファイルの最後に次の行を貼り付け、保存して閉じます。

crontab

. . .
15 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"

この行の15 3 * * *の部分は、「毎日午前3時15分に次のコマンドを実行する」ことを意味します。 Certbotのrenewコマンドは、システムにインストールされているすべての証明書をチェックし、30日以内に期限切れになるように設定されている証明書を更新します。 --noninteractiveは、ユーザー入力を待たないようにCertbotに指示します。

--post-hook "systemctl restart mosquitto"は、証明書が更新された場合にのみ、Mosquittoを再起動して新しい証明書を取得します。 このpost-hook機能は、Let’s Encryptクライアントの古いバージョンに欠けていたものであり、デフォルトのUbuntuリポジトリではなくPPAからインストールした理由です。 それなしでは、実際に証明書が更新されていなくても、Mosquittoを毎日再起動する必要があります。 MQTTクライアントは自動的に再接続するように設定する必要がありますが、正当な理由がないために毎日中断しないようにすることをお勧めします。

証明書の自動更新がすべて設定されたので、Mosquittoをより安全に設定することに戻ります。

[[step-5 -—- configuring-mqtt-passwords]] ==ステップ5—MQTTパスワードの構成

パスワードを使用するようにMosquittoを設定しましょう。 Mosquittoには、mosquitto_passwdと呼ばれる特別なパスワードファイルを生成するユーティリティが含まれています。 このコマンドは、指定されたユーザー名のパスワードを入力するように求め、結果を/etc/mosquitto/passwdに配置します。

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

次に、Mosquittoの新しい構成ファイルを開き、このパスワードファイルを使用してすべての接続にログインを要求するように指示します。

sudo nano /etc/mosquitto/conf.d/default.conf

これにより、空のファイルが開きます。 以下に貼り付けます。

/etc/mosquitto/conf.d/default.conf

allow_anonymous false
password_file /etc/mosquitto/passwd

allow_anonymous falseは認証されていないすべての接続を無効にし、password_file行はMosquittoにユーザーとパスワードの情報を探す場所を指示します。 ファイルを保存して終了します。

次に、Mosquittoを再起動して、変更をテストする必要があります。

sudo systemctl restart mosquitto

パスワードなしでメッセージを公開してみてください:

mosquitto_pub -h localhost -t "test" -m "hello world"

メッセージは拒否されるべきです:

OutputConnection Refused: not authorised.
Error: The connection was refused.

パスワードを再試行する前に、2番目のターミナルウィンドウに再度切り替えて、今回はユーザー名とパスワードを使用して「テスト」トピックにサブスクライブします。

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

接続して座って、メッセージを待つ必要があります。 定期的にテストメッセージを送信するため、このターミナルを開いたままにしてチュートリアルの残りの部分で接続しておくことができます。

ユーザー名とパスワードを使用して、もう一方の端末でメッセージを公開します。

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

メッセージはステップ1のように通過するはずです。 Mosquittoにパスワード保護を追加しました。 残念ながら、暗号化されていないパスワードをインターネット経由で送信しています。 次に、MosquittoにSSL暗号化を追加して、これを修正します。

[[step-6 -—- configuring-mqtt-ssl]] ==ステップ6— MQTTSSLの構成

SSL暗号化を有効にするには、Let's Encrypt証明書の保存場所をMosquittoに伝える必要があります。 以前に開始した構成ファイルを開きます。

sudo nano /etc/mosquitto/conf.d/default.conf

ファイルの最後に以下を貼り付けて、追加した2行を残します。

/etc/mosquitto/conf.d/default.conf

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

2つの別々のlistenerブロックを構成に追加します。 最初のlistener 1883 localhostは、ポート1883のデフォルトのMQTTリスナーを更新します。これは、これまで接続してきたものです。 1883は、暗号化されていない標準のMQTTポートです。 行のlocalhost部分は、このポートをlocalhostインターフェイスにのみバインドするようにMosquittoに指示しているため、外部からアクセスすることはできません。 いずれにせよ、外部リクエストはファイアウォールによってブロックされていたはずですが、明示するのは良いことです。

listener 8883は、ポート8883に暗号化されたリスナーを設定します。 これは、MQTT + SSLの標準ポートであり、MQTTSとも呼ばれます。 次の3行、certfilecafile、およびkeyfileはすべて、Mosquittoが適切なLet’sEncryptファイルをポイントして暗号化された接続をセットアップすることを示しています。

ファイルを保存して終了し、Mosquittoを再起動して設定を更新します。

sudo systemctl restart mosquitto

ポート8883への接続を許可するようにファイアウォールを更新します。

sudo ufw allow 8883
OutputRule added

ここで、SSLのいくつかの異なるオプションを使用して、mosquitto_pubを使用して再度テストします。

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"

localhostの代わりに完全なホスト名を使用していることに注意してください。 SSL証明書はmqtt.example.comに対して発行されるため、localhostに安全に接続しようとすると、ホスト名が証明書のホスト名と一致しないというエラーが表示されます(両方が同じモスキートを指している場合でも)サーバ)。

--capath /etc/ssl/certs/mosquitto_pubのSSLを有効にし、ルート証明書を探す場所を指示します。 これらは通常、オペレーティングシステムによってインストールされるため、Mac OS、Windowsなどではパスが異なります。 mosquitto_pubは、ルート証明書を使用して、Mosquittoサーバーの証明書がLet’sEncrypt認証局によって適切に署名されていることを確認します。 %の標準の安全なポートに接続している場合でも、mosquitto_pubmosquitto_subはこのオプション(または同様の--cafileオプション)なしではSSL接続を試行しないことに注意することが重要です。 (t6)s。

すべてがテストに問題がなければ、hello againが他のmosquitto_subターミナルに表示されます。 これは、サーバーが完全にセットアップされたことを意味します! MQTTプロトコルを拡張してWebソケットで動作するようにしたい場合は、最後の手順に従ってください。

[[step-7 -—- configuring-mqtt-over-websockets-optional]] ==ステップ7— MQTT Over Websocketsの設定(オプション)

Webブラウザ内からJavaScriptを使用してMQTTを話すために、プロトコルは標準のWebソケット上で動作するように適合されました。 この機能が必要ない場合は、この手順をスキップできます。

Mosqiutto構成にもう1つのlistenerブロックを追加する必要があります。

sudo nano /etc/mosquitto/conf.d/default.conf

ファイルの最後に、次を追加します。

/etc/mosquitto/conf.d/default.conf

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

これは、ポート番号とprotocol websockets行を除いて、前のブロックとほとんど同じです。 WebSocketを介したMQTTの公式の標準化されたポートはありませんが、8083が最も一般的です。

ファイルを保存して終了し、Mosquittoを再起動します。

sudo systemctl restart mosquitto

次に、ファイアウォールでポート8083を開きます。

sudo ufw allow 8083

この機能をテストするには、ブラウザベースの公開MQTTクライアントを使用します。 そこにはいくつかありますが、Eclipse Paho JavaScript Clientはシンプルで簡単に使用できます。 Open the Paho client in your browser。 以下が表示されます。

Paho Client Screen

接続情報を次のように入力します。

  • Hostは、Mosquittoサーバーのドメインmqtt.example.comである必要があります。

  • Port8083である必要があります。

  • ClientIdは、デフォルト値のjs-utility-DI1m6のままにしておくことができます。

  • Pathは、デフォルト値の/wsのままにしておくことができます。

  • UsernameはMosquittoのユーザー名である必要があります。ここでは、sammyを使用しました。

  • Passwordは選択したパスワードである必要があります。

残りのフィールドはデフォルト値のままにすることができます。

Connectを押すと、PahoブラウザベースのクライアントがMosquittoサーバーに接続します。

メッセージを公開するには、Publish Messageペインに移動し、Topictestとして入力し、Messageセクションにメッセージを入力します。 次に、Publishを押します。 メッセージはmosquitto_subターミナルに表示されます。

結論

Let's EncryptサービスからのSSL証明書を自動更新する、安全でパスワードで保護されたMQTTサーバーをセットアップしました。 これは、どんなプロジェクトを考えても堅牢で安全なメッセージングプラットフォームとして機能します。 MQTTプロトコルで適切に動作する一般的なソフトウェアとハ​​ードウェアには次のものがあります。

  • OwnTracks、携帯電話にインストールできるオープンソースの地理追跡アプリ。 OwnTracksは定期的に位置情報をMQTTサーバーに報告します。MQTTサーバーは、マップに保存して表示したり、位置に基づいてアラートを作成してIoTハードウェアをアクティブにしたりできます。

  • Node-REDは、モノのインターネットを「配線」するためのブラウザベースのグラフィカルインターフェイスです。 あるノードの出力を別のノードの入力にドラッグすると、フィルターを介して、さまざまなプロトコル間で、データベースなどに情報をルーティングできます。 MQTTはNode-REDで非常によくサポートされています。

  • ESP8266は、MQTT機能を備えた安価なwifiマイクロコントローラーです。 温度データをトピックに公開するために配線するか、気圧のトピックにサブスクライブして、嵐が来ているときにブザーを鳴らすことができます!

これらは、MQTTエコシステムの一般的な例のほんの一部です。 プロトコルを話すハードウェアとソフトウェアがはるかに多くあります。 お気に入りのハードウェアプラットフォームまたはソフトウェア言語を既にお持ちの場合は、MQTT機能を備えている可能性があります。 あなたの「もの」が互いに話し合うのを楽しんでください!