Debian10にMosquittoMQTTメッセージングブローカーをインストールして保護する方法

序章

MQTT は、マシンツーマシンメッセージングプロトコルであり、「モノのインターネット」デバイスへの軽量のパブリッシュ/サブスクライブ通信を提供するように設計されています。 これは一般的に、車両の地理追跡、ホームオートメーション、環境センサーネットワーク、およびユーティリティ規模のデータ収集に使用されます。

Mosquitto は人気のあるMQTTサーバー（またはMQTT用語ではブローカー）であり、優れたコミュニティサポートを備えており、インストールと構成が簡単です。

このチュートリアルでは、Mosquittoをインストールし、SSLを使用してパスワードで保護されたMQTT通信を保護するようにブローカーを設定します。

前提条件

このチュートリアルを開始する前に、次のものが必要です。

• このDebian10サーバーセットアップチュートリアルで詳しく説明されているように、root以外のsudo対応ユーザーと基本的なファイアウォールがセットアップされたDebian10サーバー。

• DigitalOcean DNS製品ドキュメントに記載されているように、サーバーを指すドメイン名。 このチュートリアルでは、 mqtt.example.com 全体を通して。

• Certbotツールを使用して生成された、ドメインおよびMosquittoで使用するための自動更新可能なLet’sEncryptSSL証明書。 これを設定する方法は、Certbotスタンドアロンモードを使用してDebian10でSSL証明書を取得する方法で学ぶことができます。 あなたは付け加えられます systemctl restart mosquitto として renew_hook ステップ4で。 前の前提条件の手順で構成したものと同じドメインを使用してください。

ステップ1—Mosquittoのインストール

Debian 10のデフォルトのソフトウェアリポジトリにはかなり新しいバージョンのMosquittoがあるので、そこからインストールできます。

まず、root以外のユーザーを使用してログインし、を使用してパッケージリストを更新します。 apt update:

sudo apt update

次に、Mosquittoを使用してインストールします apt install:

sudo apt install mosquitto mosquitto-clients

デフォルトでは、Debianはインストール後にMosquittoサービスを開始します。 デフォルト設定をテストしてみましょう。 インストールしたばかりのMosquittoクライアントの1つを使用して、ブローカーのトピックをサブスクライブします。

トピックは、メッセージを公開およびサブスクライブするラベルです。 それらは階層として配置されているので、 sensors/outside/temp と sensors/outside/humidity、 例えば。 トピックをどのように配置するかは、あなたとあなたのニーズ次第です。 このチュートリアル全体を通して、簡単なテストトピックを使用して構成の変更をテストします。

サーバーにもう一度ログインすると、2つの端末が並んでいます。 新しいターミナルでは、 mosquitto_sub テストトピックを購読するには：

mosquitto_sub -h localhost -t test

-h MQTTサーバーのホスト名を指定するために使用されます。 -t トピック名です。 押した後、出力は表示されません ENTER なぜなら mosquitto_sub メッセージが到着するのを待っています。 他の端末に戻り、メッセージを公開します。

mosquitto_pub -h localhost -t test -m "hello world"

のオプション mosquitto_pub と同じです mosquitto_sub、今回は追加のを使用しますが -m メッセージを指定するオプション。 打つ ENTER、他の端末に helloworldがポップアップ表示されるはずです。 最初のMQTTメッセージを送信しました。

入る CTRL+C 2番目のターミナルで終了します mosquitto_sub、ただし、サーバーへの接続は開いたままにします。 ステップ5の別のテストに再び使用します。

次に、パスワードベースの認証を使用してインストールを保護します。

ステップ2—MQTTパスワードの設定

パスワードを使用するようにMosquittoを構成しましょう。 Mosquittoには、と呼ばれる特別なパスワードファイルを生成するユーティリティが含まれています mosquitto_passwd. このコマンドは、指定されたユーザー名のパスワードを入力するように求め、結果を /etc/mosquitto/passwd.

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

次に、Mosquittoの新しい構成ファイルを開き、このパスワードファイルを使用してすべての接続にログインを要求するように指示します。

sudo nano /etc/mosquitto/conf.d/default.conf

これにより、空のファイルが開きます。 次のように貼り付けます。

allow_anonymous false
password_file /etc/mosquitto/passwd

ファイルの最後に必ず末尾の改行を残してください。

allow_anonymous false 認証されていないすべての接続を無効にし、 password_file 行は、ユーザーとパスワードの情報を探す場所をMosquittoに指示します。 ファイルを保存して終了します。

次に、Mosquittoを再起動して、変更をテストする必要があります。

sudo systemctl restart mosquitto

パスワードなしでメッセージを公開してみてください。

mosquitto_pub -h localhost -t "test" -m "hello world"

メッセージは拒否する必要があります：

Output
Connection Refused: not authorised.
Error: The connection was refused.

パスワードで再試行する前に、2番目のターミナルウィンドウに再度切り替えて、今回はユーザー名とパスワードを使用して「テスト」トピックにサブスクライブします。

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

接続して座って、メッセージを待つ必要があります。 テストメッセージを定期的に送信するため、チュートリアルの残りの部分では、この端末を開いたまま接続したままにしておくことができます。

次に、ユーザー名とパスワードを使用して、他の端末でメッセージを公開します。

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

メッセージはステップ1のように通過するはずです。 Mosquittoにパスワード保護を追加しました。 残念ながら、インターネットを介して暗号化されていないパスワードを送信しています。 次に、SSL暗号化をMosquittoに追加して修正します。

ステップ3—MQTTSSLの構成

SSL暗号化を有効にするには、Let’sEncrypt証明書が保存されている場所をMosquittoに通知する必要があります。 以前に開始した構成ファイルを開きます。

sudo nano /etc/mosquitto/conf.d/default.conf

ファイルの最後に次のように貼り付けて、すでに追加した2行を残します。

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

繰り返しになりますが、ファイルの最後に必ず末尾の改行を残してください。

2つ別々に追加します listener 構成へのブロック。 最初、 listener 1883 localhost、ポートのデフォルトのMQTTリスナーを更新します 1883、これまで接続してきたものです。 1883 標準の暗号化されていないMQTTポートです。 The localhost 行の一部は、このポートをローカルホストインターフェイスにのみバインドするようにMosquittoに指示しているため、外部からアクセスすることはできません。 とにかく外部リクエストはファイアウォールによってブロックされていたでしょうが、明示的にするのは良いことです。

listener 8883 ポートに暗号化されたリスナーを設定します 8883. これはMQTT+SSLの標準ポートであり、MQTTSと呼ばれることもあります。 次の3行、 certfile, cafile、 と keyfile、すべてMosquittoが適切なLet’s Encryptファイルをポイントして、暗号化された接続を設定します。

ファイルを保存して終了し、Mosquittoを再起動して設定を更新します。

sudo systemctl restart mosquitto

ポートへの接続を許可するようにファイアウォールを更新します 8883.

sudo ufw allow 8883

Output
Rule added
Rule added (v6)

次に、を使用して再度テストします mosquitto_pub、SSLのいくつかの異なるオプション：

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"

代わりに完全なホスト名を使用していることに注意してください localhost. SSL証明書が発行されているため mqtt.example.com、への安全な接続を試みる場合 localhost ホスト名が証明書のホスト名と一致しないというエラーが表示されます（両方が同じMosquittoサーバーを指している場合でも）。

--capath /etc/ssl/certs/ のSSLを有効にします mosquitto_pub、およびルート証明書を探す場所を指示します。 これらは通常、オペレーティングシステムによってインストールされるため、Mac OS、Windowsなどではパスが異なります。 mosquitto_pub ルート証明書を使用して、Mosquittoサーバーの証明書がLet’sEncrypt認証局によって適切に署名されていることを確認します。 注意することが重要です mosquitto_pub と mosquitto_sub このオプション（または同様のオプション）がないとSSL接続を試行しません --cafile オプション）、標準の安全なポートに接続している場合でも 8883.

テストがすべてうまくいけば、こんにちはがもう一方に表示されます mosquitto_sub ターミナル。 これは、サーバーが完全にセットアップされていることを意味します。 MQTTプロトコルを拡張してWebSocketで動作するようにする場合は、最後の手順に従うことができます。

ステップ4— Websocketを介したMQTTの構成（オプション）

Webブラウザ内からJavaScriptを使用してMQTTを話すために、プロトコルは標準のWebSocketで機能するように調整されました。 この機能が必要ない場合は、この手順をスキップできます。

もう1つ追加する必要があります listener Mosquitto構成へのブロック：

sudo nano /etc/mosquitto/conf.d/default.conf

ファイルの最後に、以下を追加します。

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

繰り返しになりますが、ファイルの最後に必ず末尾の改行を残してください。

これは、ポート番号と protocol websockets ライン。 WebSocketを介したMQTTの公式の標準化されたポートはありませんが、 8083 最も一般的です。

ファイルを保存して終了し、Mosquittoを再起動します。

sudo systemctl restart mosquitto

今、ポートを開きます 8083 ファイアウォールで。

sudo ufw allow 8083

この機能をテストするために、パブリックなブラウザーベースのMQTTクライアントを使用します。 そこにはいくつかありますが、 EclipsePahoJavaScriptクライアントはシンプルで簡単に使用できます。 ブラウザでPahoクライアントを開きます。 次のように表示されます。

次のように接続情報を入力します。

• Host は、Mosquittoサーバーのドメインである必要があります。 mqtt.example.com.
• ポートは 8083.
• ClientIdはデフォルト値のjs-utility-DI1m6のままにしておくことができます。
• Pathはデフォルト値の/mqttのままにしておくことができます。
• ユーザー名はMosquittoのユーザー名である必要があります。 ここでは、sammyを使用しました。
• Password は、選択したパスワードである必要があります。

残りのフィールドはデフォルト値のままにしておくことができます。

接続を押すと、PahoブラウザベースのクライアントがMosquittoサーバーに接続します。

メッセージを公開するには、メッセージの公開ペインに移動し、トピックをテストとして入力し、メッセージセクションにメッセージを入力します。 次に、公開を押します。 メッセージはあなたに表示されます mosquitto_sub ターミナル。

結論

これで、パスワードで保護され、SSLで保護された安全なMQTTサーバーがセットアップされました。 これは、あなたが夢見ているどんなプロジェクトに対しても、堅牢で安全なメッセージングプラットフォームとして機能します。 MQTTプロトコルでうまく機能する一般的なソフトウェアとハードウェアには次のものがあります。

• OwnTracks 、携帯電話にインストールできるオープンソースの地理追跡アプリ。 OwnTracksは定期的に位置情報をMQTTサーバーに報告します。これを保存して地図に表示したり、アラートを作成して場所に基づいてIoTハードウェアをアクティブ化したりできます。
• Node-RED は、モノのインターネットを「配線」するためのブラウザベースのグラフィカルインターフェイスです。 あるノードの出力を別のノードの入力にドラッグすると、フィルターを介して、さまざまなプロトコル間で、データベースなどに情報をルーティングできます。 MQTTはNode-REDによって非常によくサポートされています。
• ESP32 は、MQTT機能を備えた安価なwifiマイクロコントローラーです。 温度データをトピックに公開するために1つを接続するか、気圧トピックをサブスクライブして、嵐が来たときにブザーを鳴らすことができます。

これらは、MQTTエコシステムからのいくつかの人気のある例です。 プロトコルを話すハードウェアとソフトウェアはもっとたくさんあります。 お気に入りのハードウェアプラットフォームまたはソフトウェア言語がすでにある場合は、おそらくMQTT機能があります。 あなたの「もの」がお互いに話し合うのを楽しんでください！