Как установить и обезопасить брокера обмена сообщениями Mosquitto MQTT на Debian 9

MQTT - это протокол обмена сообщениями между машинами, разработанный для обеспечения облегченной связи между публикацией и подпиской на устройства «Интернет вещей». Он обычно используется для геотрекинга транспортных средств, домашней автоматизации, сетей датчиков окружающей среды и сбора данных в масштабах предприятия.

Mosquitto - это популярный сервер MQTT (или broker, на языке MQTT), который имеет отличную поддержку сообщества и прост в установке и настройке.

В этом руководстве мы установим Mosquitto и настроим нашего брокера на использование SSL для защиты наших защищенных паролем сообщений MQTT.

Перед началом этого урока вам понадобится:

Debian 9 имеет довольно свежую версию Mosquitto в своем репозитории программного обеспечения по умолчанию, поэтому мы можем установить его оттуда.

Сначала войдите в систему, используя своего пользователя без полномочий root, и обновите списки пакетов, используя + apt update +:

Теперь установите Mosquitto с помощью + apt install:

По умолчанию Debian запускает службу Mosquitto после установки. Давайте проверим конфигурацию по умолчанию. Мы будем использовать одного из клиентов Mosquitto, который только что установили, чтобы подписаться на тему нашего брокера.

Topics - это ярлыки, на которые вы публикуете сообщения и подписываетесь на них. Они организованы в виде иерархии, так что вы можете иметь, например, + сенсоры / снаружи / температура + и + сенсоры / снаружи / влажность +. Как вы организуете темы, зависит от вас и ваших потребностей. В этом уроке мы будем использовать простой тестовый раздел для проверки изменений конфигурации.

Войдите на свой сервер второй раз, чтобы у вас было два терминала рядом. В новом терминале используйте + mosquitto_sub +, чтобы подписаться на тему теста:

+ -h + используется для указания имени хоста сервера MQTT, а + -t + - имя темы. После нажатия + ENTER + вы не увидите выходных данных, потому что + mosquitto_sub + ожидает поступления сообщений. Вернитесь к другому терминалу и опубликуйте сообщение:

Опции для + mosquitto_pub + такие же, как + mosquitto_sub +, хотя на этот раз мы используем дополнительную опцию + -m + для указания нашего сообщения. Нажмите + ENTER +, и вы увидите, что * hello world * всплывает в другом терминале. Вы отправили свое первое сообщение MQTT!

Введите + CTRL + C + во втором терминале, чтобы выйти из + mosquitto_sub +, но оставьте соединение с сервером открытым. Мы будем использовать его снова для другого теста в Шаге 5.

Затем мы обеспечим безопасность нашей установки с помощью аутентификации на основе пароля.

Давайте настроим Mosquitto для использования паролей. Mosquitto включает в себя утилиту для генерации специального файла паролей с именем + mosquitto_passwd +. Эта команда предложит вам ввести пароль для указанного имени пользователя и поместить результаты в + / etc / mosquitto / passwd +.

Теперь мы откроем новый файл конфигурации для Mosquitto и скажем ему использовать этот файл паролей, чтобы требовать входа в систему для всех подключений:

Это должно открыть пустой файл. Вставьте в следующее:

/etc/mosquitto/conf.d/default.conf

Не забудьте оставить завершающий символ новой строки в конце файла.

+ allow_anonymous false + отключит все неаутентифицированные соединения, а строка + password_file + сообщает Mosquitto, где искать информацию о пользователе и пароле. Сохраните и выйдите из файла.

Теперь нам нужно перезапустить Mosquitto и проверить наши изменения.

Попробуйте опубликовать сообщение без пароля:

Сообщение должно быть отклонено:

Прежде чем мы попытаемся снова с паролем, снова переключитесь на второе окно терминала и подпишитесь на тему «test», используя на этот раз имя пользователя и пароль:

Стоит подключиться и сидеть, ждать сообщений. Вы можете оставить этот терминал открытым и подключенным до конца учебника, так как мы будем периодически отправлять ему тестовые сообщения.

Теперь опубликуйте сообщение на другом терминале, снова используя имя пользователя и пароль:

Сообщение должно пройти как в Шаге 1. Мы успешно добавили защиту паролем в Mosquitto. К сожалению, мы отправляем незашифрованные пароли через Интернет. Мы исправим это дальше, добавив SSL-шифрование в Mosquitto.

Чтобы включить шифрование SSL, мы должны сообщить Mosquitto, где хранятся наши сертификаты Let Encrypt. Откройте файл конфигурации, который мы ранее запустили:

Вставьте следующее в конец файла, оставив две строки, которые мы уже добавили:

/etc/mosquitto/conf.d/default.conf

Опять же, обязательно оставьте завершающий символ новой строки в конце файла.

Мы добавляем два отдельных блока + listener + в конфигурацию. Первый, + listener 1883 localhost +, обновляет прослушиватель MQTT по умолчанию на порту + 1883 +, к которому мы подключались до сих пор. + 1883 + - это стандартный незашифрованный порт MQTT. Часть строки + localhost + указывает Mosquitto связывать этот порт только с интерфейсом localhost, поэтому он недоступен извне. Внешние запросы были бы заблокированы нашим брандмауэром в любом случае, но это хорошо, чтобы быть явным.

+ listener 8883 + устанавливает зашифрованный слушатель на порт + 8883 +. Это стандартный порт для MQTT + SSL, часто называемый MQTTS. Следующие три строки, + certfile +, + cafile + и + keyfile +, указывают Mosquitto на соответствующие файлы Let Encrypt для установки зашифрованных соединений.

Сохраните и выйдите из файла, затем перезапустите Mosquitto, чтобы обновить настройки:

Обновите брандмауэр, чтобы разрешить соединения с портом + 8883 +.

Теперь мы снова тестируем, используя + mosquitto_pub +, с несколькими различными опциями для SSL:

Обратите внимание, что мы используем полное имя хоста вместо + localhost +. Поскольку наш SSL-сертификат выдан для ++, при попытке безопасного соединения с + localhost + мы получим сообщение о том, что имя хоста не соответствует имени хоста сертификата (даже если они оба указывают на один и тот же сервер Mosquitto) ,

+ - capath / etc / ssl / certs / + включает SSL для + mosquitto_pub + и сообщает ему, где искать корневые сертификаты. Обычно они устанавливаются вашей операционной системой, поэтому путь для Mac OS, Windows и т. Д. Отличается. + mosquitto_pub использует корневой сертификат для проверки того, что сертификат сервера Mosquito был надлежащим образом подписан центром сертификации Let Encrypt. Важно отметить, что + mosquitto_pub + и + mosquitto_sub + не будут пытаться установить SSL-соединение без этой опции (или аналогичной опции + - cafile +), даже если вы подключаетесь к стандартному безопасному порту `+ 8883 + `.

Если все пройдет хорошо с тестом, мы увидим * привет снова *, который появится в другом терминале + mosquitto_sub +. Это означает, что ваш сервер полностью настроен! Если вы хотите расширить протокол MQTT для работы с веб-сокетами, вы можете выполнить последний шаг.

Чтобы говорить на MQTT с использованием JavaScript из веб-браузеров, протокол был адаптирован для работы над стандартными веб-сокетами. Если вам не нужны эти функции, вы можете пропустить этот шаг.

Нам нужно добавить еще один блок + listener + в нашу конфигурацию Mosquitto:

В конце файла добавьте следующее:

/etc/mosquitto/conf.d/default.conf

Опять же, обязательно оставьте завершающий символ новой строки в конце файла.

В основном это то же самое, что и предыдущий блок, за исключением номера порта и строки + protocol websockets +. Официального стандартизированного порта для MQTT через веб-сокеты не существует, но наиболее часто встречается + 8083 +.

Сохраните и выйдите из файла, затем перезапустите Mosquitto.

Теперь откройте порт + 8083 + в брандмауэре.

Чтобы протестировать эту функцию, мы будем использовать общедоступный клиент MQTT на основе браузера. Там есть несколько, но Eclipse Paho JavaScript Client прост и понятен в использовании. Open клиент Paho в вашем браузере. Вы увидите следующее:

изображение: http: //assets.digitalocean.com/articles/mosquitto/paho.png [экран клиента Paho]

Заполните информацию о соединении следующим образом:

Остальные поля могут быть оставлены с их значениями по умолчанию.

После нажатия * Connect * клиент на основе браузера Paho подключится к вашему серверу Mosquitto.

Чтобы опубликовать сообщение, перейдите на панель * Опубликовать сообщение *, заполните * Тема * как * тест * и введите любое сообщение в разделе * Сообщение *. Далее нажмите * Опубликовать *. Сообщение появится в вашем терминале + mosquitto_sub.

Теперь мы настроили защищенный, защищенный паролем и защищенный SSL MQTT-сервер. Это может служить надежной и безопасной платформой обмена сообщениями для любых проектов, о которых вы мечтаете. Некоторые популярные программные и аппаратные средства, которые хорошо работают с протоколом MQTT, включают:

Это всего лишь несколько популярных примеров из экосистемы MQTT. Существует гораздо больше аппаратного и программного обеспечения, которое говорит на протоколе. Если у вас уже есть любимая аппаратная платформа или программный язык, возможно, у него есть возможности MQTT. Получайте удовольствие, разговаривая друг с другом своими «вещами»!