Как установить и обезопасить Mosquitto MQTT Messaging Broker в Ubuntu 18.04

MQTT - это протокол обмена сообщениями между машинами, предназначенный для облегчения обмена данными по публикации / подписке с устройствами «Интернета вещей». Он обычно используется для геотрекинга транспортных средств, домашней автоматизации, сетей датчиков окружающей среды и сбора данных в масштабах предприятия.

Mosquitto - популярный сервер MQTT (илиbroker, на языке MQTT), который имеет отличную поддержку сообщества и прост в установке и настройке.

В этом руководстве мы установим Mosquitto и настроим нашего брокера на использование SSL для защиты наших защищенных паролем сообщений MQTT.

Перед началом этого урока вам понадобится:

[[step-1 -—- install-mosquitto]] == Шаг 1 - Установка Mosquitto

Ubuntu 18.04 имеет довольно свежую версию Mosquitto в своем репозитории программного обеспечения по умолчанию, поэтому мы можем установить ее оттуда.

Сначала войдите в систему под своим пользователем без полномочий root и обновите списки пакетов, используяapt update:

Теперь установите Mosquitto, используяapt install:

По умолчанию Ubuntu запускает службу Mosquitto после установки. Давайте проверим конфигурацию по умолчанию. Мы будем использовать одного из только что установленных клиентов Mosquitto, чтобы подписаться на тему нашего брокера.

Topics - это ярлыки, на которые вы публикуете сообщения и на которые подписываетесь. Они организованы в виде иерархии, например, у вас могут бытьsensors/outside/temp иsensors/outside/humidity. Как вы организуете темы, зависит от вас и ваших потребностей. В этом уроке мы будем использовать простой тестовый раздел для проверки изменений конфигурации.

Войдите на свой сервер второй раз, чтобы у вас было два терминала рядом. В новом терминале используйтеmosquitto_sub, чтобы подписаться на тестовую тему:

-h используется для указания имени хоста сервера MQTT, а-t - это имя темы. Вы не увидите вывода после нажатияENTER, потому чтоmosquitto_sub ожидает прибытия сообщений. Вернитесь к другому терминалу и опубликуйте сообщение:

Параметры дляmosquitto_pub такие же, как дляmosquitto_sub, хотя на этот раз мы используем дополнительную опцию-m для указания нашего сообщения. НажмитеENTER, и вы должны увидеть всплывающее окноhello world в другом терминале. Вы отправили свое первое сообщение MQTT!

ВведитеCTRL+C во втором терминале, чтобы выйти изmosquitto_sub, но оставьте соединение с сервером открытым. Мы будем использовать его снова для другого теста в Шаге 5.

Затем мы обеспечим безопасность нашей установки с помощью аутентификации на основе пароля.

[[step-2 -—- configuring-mqtt-passwords]] == Шаг 2 - Настройка паролей MQTT

Давайте настроим Mosquitto для использования паролей. Mosquitto включает утилиту для создания специального файла паролей с именемmosquitto_passwd. Эта команда предложит вам ввести пароль для указанного имени пользователя и поместить результаты в/etc/mosquitto/passwd.

Теперь мы откроем новый файл конфигурации для Mosquitto и скажем ему использовать этот файл паролей, чтобы требовать входа в систему для всех подключений:

Это должно открыть пустой файл. Вставьте в следующее:

/etc/mosquitto/conf.d/default.conf

Не забудьте оставить завершающий символ новой строки в конце файла.

allow_anonymous false отключит все неаутентифицированные соединения, а строкаpassword_file сообщает Mosquitto, где искать информацию о пользователе и пароле. Сохраните и выйдите из файла.

Теперь нам нужно перезапустить Mosquitto и проверить наши изменения.

Попробуйте опубликовать сообщение без пароля:

Сообщение должно быть отклонено:

Прежде чем мы попытаемся снова с паролем, снова переключитесь на второе окно терминала и подпишитесь на тему «test», используя на этот раз имя пользователя и пароль:

Стоит подключиться и сидеть, ждать сообщений. Вы можете оставить этот терминал открытым и подключенным до конца учебника, так как мы будем периодически отправлять ему тестовые сообщения.

Теперь опубликуйте сообщение на другом терминале, снова используя имя пользователя и пароль:

Сообщение должно пройти как в Шаге 1. Мы успешно добавили защиту паролем в Mosquitto. К сожалению, мы отправляем незашифрованные пароли через Интернет. Мы исправим это дальше, добавив SSL-шифрование в Mosquitto.

[[step-3 -—- configuring-mqtt-ssl]] == Шаг 3 - Настройка MQTT SSL

Чтобы включить шифрование SSL, мы должны сообщить Mosquitto, где хранятся наши сертификаты Let Encrypt. Откройте файл конфигурации, который мы ранее запустили:

Вставьте следующее в конец файла, оставив две строки, которые мы уже добавили:

/etc/mosquitto/conf.d/default.conf

Опять же, обязательно оставьте завершающий символ новой строки в конце файла.

Мы добавляем в конфигурацию два отдельных блокаlistener. Первый,listener 1883 localhost, обновляет прослушиватель MQTT по умолчанию на порту1883, к которому мы до сих пор подключались. 1883 - стандартный незашифрованный порт MQTT. Часть строкиlocalhost указывает Mosquitto привязать этот порт только к интерфейсу localhost, поэтому он недоступен извне. Внешние запросы были бы заблокированы нашим брандмауэром в любом случае, но это хорошо, чтобы быть явным.

listener 8883 устанавливает зашифрованный прослушиватель на порт8883. Это стандартный порт для MQTT + SSL, часто называемый MQTTS. Следующие три строки,certfile,cafile иkeyfile, указывают Mosquitto на соответствующие файлы Let’s Encrypt для установки зашифрованных соединений.

Сохраните и выйдите из файла, затем перезапустите Mosquitto, чтобы обновить настройки:

Обновите брандмауэр, чтобы разрешить подключения к порту8883.

Теперь мы снова тестируем, используяmosquitto_pub, с несколькими разными вариантами SSL:

Обратите внимание, что мы используем полное имя хоста вместоlocalhost. Поскольку наш SSL-сертификат выпущен дляmqtt.example.com, если мы попытаемся установить безопасное соединение сlocalhost, мы получим ошибку о том, что имя хоста не соответствует имени хоста сертификата (даже если они оба указывают на один и тот же Mosquitto). сервер).

--capath /etc/ssl/certs/ включает SSL дляmosquitto_pub и сообщает ему, где искать корневые сертификаты. Обычно они устанавливаются вашей операционной системой, поэтому путь для Mac OS, Windows и т. Д. Отличается. mosquitto_pub использует корневой сертификат для проверки того, что сертификат сервера Mosquitto был правильно подписан центром сертификации Let’s Encrypt. Важно отметить, чтоmosquitto_pub иmosquitto_sub не будут пытаться установить SSL-соединение без этой опции (или аналогичной опции--cafile), даже если вы подключаетесь к стандартному безопасному порту8883с.

Если все пройдет успешно, мы увидим, чтоhello again появится в другом терминалеmosquitto_sub. Это означает, что ваш сервер полностью настроен! Если вы хотите расширить протокол MQTT для работы с веб-сокетами, вы можете выполнить последний шаг.

[[step-4 -—- configuring-mqtt-over-websockets-optional]] == Шаг 4. Настройка MQTT через веб-сокеты (необязательно)

Чтобы говорить на MQTT с использованием JavaScript из веб-браузеров, протокол был адаптирован для работы над стандартными веб-сокетами. Если вам не нужны эти функции, вы можете пропустить этот шаг.

Нам нужно добавить еще один блокlistener в нашу конфигурацию Mosquitto:

В конце файла добавьте следующее:

/etc/mosquitto/conf.d/default.conf

Опять же, обязательно оставьте завершающий символ новой строки в конце файла.

Это в основном то же самое, что и в предыдущем блоке, за исключением номера порта и строкиprotocol websockets. Нет официального стандартизированного порта для MQTT через веб-сокеты, но8083 является наиболее распространенным.

Сохраните и выйдите из файла, затем перезапустите Mosquitto.

Теперь откройте порт8083 в брандмауэре.

Чтобы протестировать эту функцию, мы будем использовать общедоступный клиент MQTT на основе браузера. Их несколько, ноEclipse Paho JavaScript Client прост и понятен в использовании. Open the Paho client in your browser. Вы увидите следующее:

Заполните информацию о соединении следующим образом:

Остальные поля могут быть оставлены с их значениями по умолчанию.

После нажатияConnect клиент на базе браузера Paho подключится к вашему серверу Mosquitto.

Чтобы опубликовать сообщение, перейдите на панельPublish Message, заполнитеTopic какtest и введите любое сообщение в разделеMessage. Затем нажмитеPublish. Сообщение появится в вашем терминалеmosquitto_sub.

Теперь мы настроили защищенный, защищенный паролем и защищенный SSL MQTT-сервер. Это может служить надежной и безопасной платформой обмена сообщениями для любых проектов, о которых вы мечтаете. Некоторые популярные программные и аппаратные средства, которые хорошо работают с протоколом MQTT, включают:

Это всего лишь несколько популярных примеров из экосистемы MQTT. Существует гораздо больше аппаратного и программного обеспечения, которое говорит на протоколе. Если у вас уже есть любимая аппаратная платформа или программный язык, возможно, у него есть возможности MQTT. Получайте удовольствие, разговаривая друг с другом своими «вещами»!