Comment installer et sécuriser le courtier de messagerie Mosquitto MQTT sur CentOS 7

De Get Docs
Aller à :navigation, rechercher

Introduction

MQTT est un protocole de messagerie de machine à machine, conçu pour fournir une communication légère de publication/abonnement aux appareils « Internet des objets ». Il est couramment utilisé pour le suivi géographique des flottes de véhicules, la domotique, les réseaux de capteurs environnementaux et la collecte de données à grande échelle.

Mosquitto est un serveur MQTT populaire (ou courtier, dans le langage MQTT) qui bénéficie d'un excellent support communautaire et est facile à installer et à configurer.

Dans ce didacticiel, nous allons installer Mosquitto, récupérer les certificats SSL de Let's Encrypt et configurer notre courtier pour qu'il utilise SSL pour sécuriser nos communications MQTT protégées par mot de passe.

Conditions préalables

Avant de commencer ce tutoriel, vous aurez besoin de :

  • Un serveur CentOS 7 avec un utilisateur non root, sudo activé et un pare-feu de base configuré. Tout cela (et plus) est couvert dans la Nouvelle liste de contrôle du serveur CentOS 7.
  • Un nom de domaine pointé vers votre serveur, conformément à Comment configurer un nom d'hôte avec DigitalOcean. Ce didacticiel utilisera mqtt.example.com tout au long.
  • En option, l'éditeur de texte nano. Ce didacticiel utilisera nano tout au long et vous pouvez l'installer à tout moment avec sudo yum -y install nano, ou remplacer votre éditeur de texte préféré.

Étape 1 - Installation de Mosquitto

CentOS 7 n'a pas de package mosquitto par défaut. Pour l'installer, nous allons d'abord installer un référentiel de logiciels supplémentaire appelé Extra Packages for Enterprise Linux, ou EPEL. Ce référentiel regorge de logiciels supplémentaires qui s'installent bien sur CentOS, Red Hat et d'autres distributions Linux orientées entreprise.

Connectez-vous avec votre utilisateur non root et utilisez le gestionnaire de packages yum pour installer le package epel-release.

sudo yum -y install epel-release

Cela ajoute les informations du référentiel EPEL à notre système. L'option -y répond automatiquement oui à quelques invites tout au long du processus. Nous pouvons maintenant installer le package mosquitto.

sudo yum -y install mosquitto

Le paquet est livré avec une configuration par défaut simple, alors exécutons-le pour tester notre installation.

sudo systemctl start mosquitto

Nous devons également activer le service pour nous assurer qu'il démarre lorsque nous redémarrons le système :

sudo systemctl enable mosquitto

Testons maintenant la configuration par défaut. Le package mosquitto est fourni avec certains clients MQTT en ligne de commande. Nous utiliserons l'un d'eux pour nous abonner à un sujet sur notre courtier.

Les Topics sont des libellés auxquels vous publiez des messages et auxquels vous vous abonnez. Ils sont organisés en hiérarchie, vous pouvez donc avoir sensors/outside/temp et sensors/outside/humidity, par exemple. La façon dont vous organisez les sujets dépend de vous et de vos besoins. Tout au long de ce didacticiel, nous utiliserons un sujet de test simple pour tester nos modifications de configuration.

Connectez-vous une deuxième fois à votre serveur, vous avez donc deux terminaux côte à côte. Dans le nouveau terminal, utilisez mosquitto_sub pour vous abonner au sujet de test :

mosquitto_sub -h localhost -t test

-h est utilisé pour spécifier le nom d'hôte du serveur MQTT et -t est le nom du sujet. Vous ne verrez aucune sortie après avoir appuyé sur ENTER car mosquitto_sub attend l'arrivée des messages. Revenez sur votre autre terminal et publiez un message :

mosquitto_pub -h localhost -t test -m "hello world"

Les options pour mosquitto_pub sont les mêmes que pour mosquitto_sub, bien que cette fois nous utilisons l'option supplémentaire -m pour spécifier notre message. Appuyez sur ENTER, et vous devriez voir hello world apparaître dans l'autre terminal. Vous avez envoyé votre premier message MQTT !

Entrez CTRL+C dans le deuxième terminal pour sortir de mosquitto_sub, mais gardez la connexion au serveur ouverte. Nous l'utiliserons à nouveau pour un autre test à l'étape 5.

Ensuite, nous allons sécuriser notre installation avec SSL en utilisant Certbot, le nouveau client Let's Encrypt.

Étape 2 - Installation et exécution de Certbot pour les certificats Let's Encrypt

Let's Encrypt est un nouveau service offrant des certificats SSL gratuits via une API automatisée. Le client officiel Let's Encrypt s'appelle Certbot et est inclus dans le référentiel EPEL que nous avons installé à l'étape précédente.

Installez Certbot avec yum.

sudo yum -y install certbot

Certbot doit répondre à un défi cryptographique émis par l'API Let's Encrypt afin de prouver que nous contrôlons notre domaine. Il utilise les ports 80 (HTTP) et/ou 443 (HTTPS) pour y parvenir. Nous n'utiliserons que le port 80, alors autorisons le trafic entrant sur ce port maintenant.

Utilisez firewall-cmd pour ajouter le service HTTP.

sudo firewall-cmd --permanent --add-service=http

Rechargez le pare-feu pour que les modifications prennent effet.

sudo firewall-cmd --reload

Nous pouvons maintenant exécuter Certbot pour obtenir notre certificat. Nous utiliserons l'option --standalone pour indiquer à Certbot de gérer lui-même la demande de challenge HTTP, et --standalone-supported-challenges http-01 limite la communication au port 80. -d est utilisé pour spécifier le domaine pour lequel vous souhaitez un certificat, et certonly indique à Certbot de simplement récupérer le certificat sans effectuer aucune autre étape de configuration.

sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d mqtt.example.com

Lors de l'exécution de la commande, vous serez invité à saisir une adresse e-mail et à accepter les conditions d'utilisation. Après cela, vous devriez voir un message vous indiquant que le processus a réussi et où vos certificats sont stockés.

Nous avons nos certificats. Nous devons maintenant nous assurer que Certbot les renouvelle automatiquement lorsqu'ils sont sur le point d'expirer.

Étape 3 - Configuration des renouvellements automatiques de Certbot

Les certificats de Let's Encrypt ne sont valables que pendant quatre-vingt-dix jours. Il s'agit d'encourager les utilisateurs à automatiser leur processus de renouvellement de certificat. Nous devrons configurer une commande exécutée régulièrement pour vérifier les certificats arrivant à expiration et les renouveler automatiquement.

Pour exécuter la vérification de renouvellement quotidiennement, nous utiliserons cron, un service système standard pour l'exécution de tâches périodiques. Nous disons à cron quoi faire en ouvrant et en éditant un fichier appelé crontab.

sudo EDITOR=nano crontab -e

EDITOR=nano ouvrira le fichier crontab dans l'éditeur nano. Laissez-le désactivé si vous préférez l'éditeur vi par défaut.

Vous devriez maintenant être présenté avec le crontab par défaut, un fichier vierge. Collez la ligne suivante, puis enregistrez et fermez le fichier.

crontab

15 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"

La partie 15 3 * * * de cette ligne signifie "exécuter la commande suivante à 3h15, tous les jours". La commande renew pour Certbot vérifiera tous les certificats installés sur le système et mettra à jour ceux qui doivent expirer dans moins de trente jours. --noninteractive indique à Certbot de ne pas attendre l'entrée de l'utilisateur.

--post-hook "systemctl restart mosquitto" redémarrera Mosquitto pour récupérer le nouveau certificat, mais uniquement si le certificat a été renouvelé.

Maintenant que le renouvellement automatique du certificat est défini, nous allons revenir à la configuration de Mosquitto pour qu'il soit plus sécurisé.

Étape 4 - Configuration des mots de passe MQTT

Configurons Mosquitto pour utiliser des mots de passe. Mosquitto inclut un utilitaire pour générer un fichier de mot de passe spécial appelé mosquitto_passwd. Cette commande vous invitera à entrer un mot de passe pour le nom d'utilisateur spécifié et placera les résultats dans /etc/mosquitto/passwd.

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

Nous allons maintenant remplacer le fichier de configuration par défaut et dire à Mosquitto d'utiliser ce fichier de mot de passe pour exiger des connexions pour toutes les connexions. Tout d'abord, supprimez le mosquitto.conf existant.

sudo rm /etc/mosquitto/mosquitto.conf

Et maintenant, ouvrez une nouvelle configuration vierge.

sudo nano /etc/mosquitto/mosquitto.conf

Collez ce qui suit.

/etc/mosquitto/mosquitto.conf

allow_anonymous false
password_file /etc/mosquitto/passwd

allow_anonymous false désactivera toutes les connexions non authentifiées, et la ligne password_file indique à Mosquitto où rechercher les informations d'utilisateur et de mot de passe. Enregistrez et quittez le fichier.

Nous devons maintenant redémarrer Mosquitto et tester nos modifications.

sudo systemctl restart mosquitto

Essayez de publier un message sans mot de passe.

mosquitto_pub -h localhost -t "test" -m "hello world"

Le message doit être rejeté :

OutputConnection Refused: not authorised.
Error: The connection was refused.

Avant de réessayer avec le mot de passe, revenez à votre deuxième fenêtre de terminal et abonnez-vous au sujet "test", en utilisant cette fois le nom d'utilisateur et le mot de passe :

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

Il devrait se connecter et s'asseoir, en attendant les messages. Vous pouvez laisser ce terminal ouvert et connecté pour le reste du didacticiel, car nous lui enverrons périodiquement des messages de test.

Publiez maintenant un message avec votre autre terminal, en utilisant à nouveau le nom d'utilisateur et le mot de passe :

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

Le message devrait passer comme à l'étape 1. Nous avons ajouté avec succès la protection par mot de passe à Mosquitto. Malheureusement, nous envoyons des mots de passe non cryptés sur Internet. Nous allons résoudre ce problème en ajoutant le cryptage SSL à Mosquitto.

Étape 5 - Configuration de SSL MQTT

Pour activer le cryptage SSL, nous devons indiquer à Mosquitto où nos certificats Let's Encrypt sont stockés. Ouvrez le fichier de configuration que nous avons précédemment démarré.

sudo nano /etc/mosquitto/mosquitto.conf

Collez ce qui suit à la fin du fichier, en laissant les deux lignes que nous avons déjà ajoutées :

/etc/mosquitto/mosquitto.conf

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

Nous ajoutons deux blocs listener distincts à la configuration. Le premier, listener 1883 localhost, met à jour l'écouteur MQTT par défaut sur le port 1883, auquel nous nous sommes connectés jusqu'à présent. 1883 est le port MQTT non chiffré standard. La partie localhost de la ligne indique à Mosquitto de ne lier ce port qu'à l'interface localhost, il n'est donc pas accessible de l'extérieur. Les requêtes externes auraient de toute façon été bloquées par notre pare-feu, mais il est bon d'être explicite.

listener 8883 configure un écouteur chiffré sur le port 8883. Il s'agit du port standard pour MQTT + SSL, souvent appelé MQTTS. Les trois lignes suivantes, certfile, cafile et keyfile, pointent toutes Mosquitto vers les fichiers Let's Encrypt appropriés pour configurer les connexions cryptées.

Enregistrez et quittez le fichier.

Avant de redémarrer Mosquitto pour charger la nouvelle configuration, nous devons corriger une chose dans le fichier de service mosquitto par défaut. C'est le fichier que systemd utilise pour déterminer comment exécuter mosquitto. Ouvrez-le dans votre éditeur préféré.

sudo nano /etc/systemd/system/multi-user.target.wants/mosquitto.service

Recherchez une ligne indiquant User=mosquitto et supprimez-la, puis enregistrez et quittez le fichier.

Mosquitto fonctionnera toujours en tant qu'utilisateur mosquitto, mais lors de son premier démarrage, il disposera des privilèges root et pourra charger nos certificats Let's Encrypt (qui sont limités à [ accès X206X]root, pour des raisons de sécurité). Après avoir chargé les certificats, il tombera sur l'utilisateur mosquitto.

Nous devons recharger systemd lui-même, afin qu'il remarque les modifications que nous avons apportées au fichier de service.

sudo systemctl daemon-reload

Et maintenant, nous pouvons redémarrer Mosquitto pour mettre à jour les paramètres.

sudo systemctl restart mosquitto

Mettez à jour le pare-feu pour autoriser les connexions au port 8883.

sudo firewall-cmd --permanent --add-port=8883/tcp

Et rechargez le pare-feu.

sudo firewall-cmd --reload

Maintenant, nous testons à nouveau en utilisant mosquitto_pub, avec quelques options différentes pour SSL.

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --cafile /etc/ssl/certs/ca-bundle.crt -u "sammy" -P "password"

Notez que nous utilisons le nom d'hôte complet au lieu de localhost. Étant donné que notre certificat SSL est émis pour mqtt.example.com, si nous tentons une connexion sécurisée à localhost, nous obtiendrons une erreur indiquant que le nom d'hôte ne correspond pas au nom d'hôte du certificat (même s'ils pointent tous les deux vers le même serveur Mosquitto).

--cafile /etc/ssl/certs/ca-bundle.crt active SSL pour mosquitto_pub et lui indique où rechercher les certificats racine. Ceux-ci sont généralement installés par votre système d'exploitation, le chemin est donc différent pour Mac OS, Windows, etc. mosquitto_pub utilise le certificat racine pour vérifier que le certificat du serveur Mosquitto a été correctement signé par l'autorité de certification Let's Encrypt. Il est important de noter que mosquitto_pub et mosquitto_sub ne tenteront pas une connexion SSL sans cette option (ou l'option similaire --capath), même si vous vous connectez au protocole sécurisé standard. port de 8883.

Si tout se passe bien avec le test, nous verrons hello again apparaître dans l'autre terminal mosquitto_sub. Cela signifie que votre serveur est entièrement configuré ! Si vous souhaitez étendre le protocole MQTT pour qu'il fonctionne avec les websockets, vous pouvez suivre la dernière étape.

Étape 6 - Configuration de MQTT sur Websockets (facultatif)

Afin de parler MQTT en utilisant JavaScript à partir de navigateurs Web, le protocole a été adapté pour fonctionner sur des websockets standard. Si vous n'avez pas besoin de cette fonctionnalité, vous pouvez ignorer cette étape.

Nous devons ajouter un autre bloc listener à notre configuration Mosquitto.

sudo nano /etc/mosquitto/mosquitto.conf

À la fin du fichier, ajoutez ce qui suit :

/etc/mosquitto/mosquitto.conf

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

C'est essentiellement le même que le bloc précédent, à l'exception du numéro de port et de la ligne protocol websockets. Il n'y a pas de port standardisé officiel pour MQTT sur les websockets, mais 8083 est le plus courant.

Enregistrez et quittez le fichier, puis redémarrez Mosquitto.

sudo systemctl restart mosquitto

Maintenant, ouvrez le port 8083 dans le pare-feu.

sudo firewall-cmd --permanent --add-port=8083/tcp

Et rechargez le pare-feu une dernière fois.

sudo firewall-cmd --reload

Pour tester cette fonctionnalité, nous utiliserons un client MQTT public basé sur un navigateur. Il y en a quelques-uns, mais mqtt-admin est simple et direct. Ouvrez mqtt-admin dans votre navigateur. Vous verrez ce qui suit :

Remplissez les informations de connexion comme suit :

  • Protocole doit être wss (qui signifie websocket secure).
  • Host doit être le domaine de votre serveur Mosquitto, mqtt.example.com.
  • Port doit être 8083.
  • User doit être votre nom d'utilisateur Mosquitto ; ici, nous avons utilisé sammy.
  • Password doit être le mot de passe que vous avez choisi.
  • ClientId peut être laissé à la valeur par défaut, mqtt-admin.

Après avoir appuyé sur Enregistrer les paramètres, mqtt-admin se connectera à votre serveur Mosquitto. Dans l'écran suivant, remplissez Topic en tant que test, saisissez n'importe quel message pour Payload, puis appuyez sur Publish. Le message s'affichera dans le terminal mosquitto_sub.

Conclusion

Nous avons maintenant mis en place un serveur MQTT sécurisé et protégé par mot de passe, avec des certificats SSL à renouvellement automatique du service Let's Encrypt. Cela servira de plate-forme de messagerie robuste et sécurisée pour tous les projets que vous imaginez. Certains logiciels et matériels populaires qui fonctionnent bien avec le protocole MQTT incluent :

  • OwnTracks, une application de géolocalisation open source que vous pouvez installer sur votre téléphone. OwnTracks rapportera périodiquement des informations de position à votre serveur MQTT, que vous pourrez ensuite stocker et afficher sur une carte, ou créer des alertes et activer le matériel IoT en fonction de votre emplacement.
  • Node-RED est une interface graphique basée sur un navigateur pour "câbler" l'Internet des objets. Vous faites glisser la sortie d'un nœud vers l'entrée d'un autre et pouvez acheminer les informations à travers des filtres, entre différents protocoles, dans des bases de données, etc. MQTT est très bien supporté par Node-RED.
  • Le ESP8266 est un microcontrôleur wifi peu coûteux avec des capacités MQTT. Vous pouvez en connecter un pour publier des données de température sur un sujet, ou peut-être vous abonner à un sujet sur la pression barométrique et faire retentir un buzzer lorsqu'une tempête arrive !

Ce ne sont là que quelques exemples populaires de l'écosystème MQTT. Il y a beaucoup plus de matériel et de logiciels qui parlent le protocole. Si vous avez déjà une plate-forme matérielle préférée ou un langage logiciel, il a probablement des capacités MQTT. Amusez-vous à faire parler vos « choses » !