Comment installer et sécuriser le courtier de messagerie Mosquitto MQTT sur Debian 9

De Get Docs
Aller à :navigation, rechercher

Introduction

MQTT est un protocole de messagerie de machine à machine, conçu pour fournir une communication légère de publication/abonnement aux appareils « Internet des objets ». Il est couramment utilisé pour le suivi géographique des flottes de véhicules, la domotique, les réseaux de capteurs environnementaux et la collecte de données à grande échelle.

Mosquitto est un serveur MQTT populaire (ou courtier, dans le langage MQTT) qui bénéficie d'un excellent support communautaire et est facile à installer et à configurer.

Dans ce didacticiel, nous allons installer Mosquitto et configurer notre courtier pour qu'il utilise SSL pour sécuriser nos communications MQTT protégées par mot de passe.

Conditions préalables

Avant de commencer ce tutoriel, vous aurez besoin de :

Étape 1 - Installation de Mosquitto

Debian 9 a une version assez récente de Mosquitto dans son référentiel de logiciels par défaut, nous pouvons donc l'installer à partir de là.

Tout d'abord, connectez-vous à l'aide de votre utilisateur non root et mettez à jour les listes de packages à l'aide de apt update :

sudo apt update

Maintenant, installez Mosquitto en utilisant apt install :

sudo apt install mosquitto mosquitto-clients

Par défaut, Debian démarrera le service Mosquitto après l'installation. Testons la configuration par défaut. Nous utiliserons l'un des clients Mosquitto que nous venons d'installer pour nous abonner à un sujet sur notre courtier.

Les Topics sont des libellés auxquels vous publiez des messages et auxquels vous vous abonnez. Ils sont organisés en hiérarchie, vous pouvez donc avoir sensors/outside/temp et sensors/outside/humidity, par exemple. La façon dont vous organisez les sujets dépend de vous et de vos besoins. Tout au long de ce didacticiel, nous utiliserons un sujet de test simple pour tester nos modifications de configuration.

Connectez-vous une deuxième fois à votre serveur, vous avez donc deux terminaux côte à côte. Dans le nouveau terminal, utilisez mosquitto_sub pour vous abonner au sujet de test :

mosquitto_sub -h localhost -t test

-h est utilisé pour spécifier le nom d'hôte du serveur MQTT et -t est le nom du sujet. Vous ne verrez aucune sortie après avoir appuyé sur ENTER car mosquitto_sub attend l'arrivée des messages. Revenez sur votre autre terminal et publiez un message :

mosquitto_pub -h localhost -t test -m "hello world"

Les options pour mosquitto_pub sont les mêmes que pour mosquitto_sub, bien que cette fois nous utilisons l'option supplémentaire -m pour spécifier notre message. Appuyez sur ENTER, et vous devriez voir hello world apparaître dans l'autre terminal. Vous avez envoyé votre premier message MQTT !

Entrez CTRL+C dans le deuxième terminal pour sortir de mosquitto_sub, mais gardez la connexion au serveur ouverte. Nous l'utiliserons à nouveau pour un autre test à l'étape 5.

Ensuite, nous allons sécuriser notre installation à l'aide d'une authentification par mot de passe.

Étape 2 - Configuration des mots de passe MQTT

Configurons Mosquitto pour utiliser des mots de passe. Mosquitto inclut un utilitaire pour générer un fichier de mot de passe spécial appelé mosquitto_passwd. Cette commande vous invitera à entrer un mot de passe pour le nom d'utilisateur spécifié et placera les résultats dans /etc/mosquitto/passwd.

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

Nous allons maintenant ouvrir un nouveau fichier de configuration pour Mosquitto et lui dire d'utiliser ce fichier de mot de passe pour exiger des identifiants pour toutes les connexions :

sudo nano /etc/mosquitto/conf.d/default.conf

Cela devrait ouvrir un fichier vide. Collez ce qui suit :

/etc/mosquitto/conf.d/default.conf

allow_anonymous false
password_file /etc/mosquitto/passwd

Assurez-vous de laisser une nouvelle ligne à la fin du fichier.

allow_anonymous false désactivera toutes les connexions non authentifiées, et la ligne password_file indique à Mosquitto où rechercher les informations d'utilisateur et de mot de passe. Enregistrez et quittez le fichier.

Nous devons maintenant redémarrer Mosquitto et tester nos modifications.

sudo systemctl restart mosquitto

Essayez de publier un message sans mot de passe :

mosquitto_pub -h localhost -t "test" -m "hello world"

Le message doit être rejeté :

OutputConnection Refused: not authorised.
Error: The connection was refused.

Avant de réessayer avec le mot de passe, revenez à votre deuxième fenêtre de terminal et abonnez-vous au sujet "test", en utilisant cette fois le nom d'utilisateur et le mot de passe :

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

Il devrait se connecter et s'asseoir, en attendant les messages. Vous pouvez laisser ce terminal ouvert et connecté pour le reste du didacticiel, car nous lui enverrons périodiquement des messages de test.

Publiez maintenant un message avec votre autre terminal, en utilisant à nouveau le nom d'utilisateur et le mot de passe :

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

Le message devrait passer comme à l'étape 1. Nous avons ajouté avec succès la protection par mot de passe à Mosquitto. Malheureusement, nous envoyons des mots de passe non cryptés sur Internet. Nous allons résoudre ce problème en ajoutant le cryptage SSL à Mosquitto.

Étape 3 - Configuration de SSL MQTT

Pour activer le cryptage SSL, nous devons indiquer à Mosquitto où nos certificats Let's Encrypt sont stockés. Ouvrez le fichier de configuration que nous avons précédemment démarré :

sudo nano /etc/mosquitto/conf.d/default.conf

Collez ce qui suit à la fin du fichier, en laissant les deux lignes que nous avons déjà ajoutées :

/etc/mosquitto/conf.d/default.conf

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

Encore une fois, assurez-vous de laisser une nouvelle ligne à la fin du fichier.

Nous ajoutons deux blocs listener distincts à la configuration. Le premier, listener 1883 localhost, met à jour l'écouteur MQTT par défaut sur le port 1883, auquel nous nous sommes connectés jusqu'à présent. 1883 est le port MQTT non chiffré standard. La partie localhost de la ligne indique à Mosquitto de ne lier ce port qu'à l'interface localhost, il n'est donc pas accessible de l'extérieur. Les requêtes externes auraient de toute façon été bloquées par notre pare-feu, mais il est bon d'être explicite.

listener 8883 configure un écouteur chiffré sur le port 8883. Il s'agit du port standard pour MQTT + SSL, souvent appelé MQTTS. Les trois lignes suivantes, certfile, cafile et keyfile, pointent toutes Mosquitto vers les fichiers Let's Encrypt appropriés pour configurer les connexions cryptées.

Enregistrez et quittez le fichier, puis redémarrez Mosquitto pour mettre à jour les paramètres :

sudo systemctl restart mosquitto

Mettez à jour le pare-feu pour autoriser les connexions au port 8883.

sudo ufw allow 8883
OutputRule added
Rule added (v6)

Maintenant, nous testons à nouveau en utilisant mosquitto_pub, avec quelques options différentes pour SSL :

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"

Notez que nous utilisons le nom d'hôte complet au lieu de localhost. Étant donné que notre certificat SSL est émis pour mqtt.example.com, si nous tentons une connexion sécurisée à localhost, nous obtiendrons une erreur indiquant que le nom d'hôte ne correspond pas au nom d'hôte du certificat (même s'ils pointent tous les deux vers le même serveur Mosquitto).

--capath /etc/ssl/certs/ active SSL pour mosquitto_pub et lui indique où rechercher les certificats racine. Ceux-ci sont généralement installés par votre système d'exploitation, le chemin est donc différent pour Mac OS, Windows, etc. mosquitto_pub utilise le certificat racine pour vérifier que le certificat du serveur Mosquitto a été correctement signé par l'autorité de certification Let's Encrypt. Il est important de noter que mosquitto_pub et mosquitto_sub ne tenteront pas une connexion SSL sans cette option (ou l'option similaire --cafile), même si vous vous connectez au protocole sécurisé standard. port de 8883.

Si tout se passe bien avec le test, nous verrons hello again apparaître dans l'autre terminal mosquitto_sub. Cela signifie que votre serveur est entièrement configuré ! Si vous souhaitez étendre le protocole MQTT pour qu'il fonctionne avec les websockets, vous pouvez suivre la dernière étape.

Étape 4 - Configuration de MQTT sur Websockets (facultatif)

Afin de parler MQTT en utilisant JavaScript à partir de navigateurs Web, le protocole a été adapté pour fonctionner sur des websockets standard. Si vous n'avez pas besoin de cette fonctionnalité, vous pouvez ignorer cette étape.

Nous devons ajouter un autre bloc listener à notre configuration Mosquitto :

sudo nano /etc/mosquitto/conf.d/default.conf

À la fin du fichier, ajoutez ce qui suit :

/etc/mosquitto/conf.d/default.conf

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

Encore une fois, assurez-vous de laisser une nouvelle ligne à la fin du fichier.

C'est essentiellement le même que le bloc précédent, à l'exception du numéro de port et de la ligne protocol websockets. Il n'y a pas de port standardisé officiel pour MQTT sur les websockets, mais 8083 est le plus courant.

Enregistrez et quittez le fichier, puis redémarrez Mosquitto.

sudo systemctl restart mosquitto

Maintenant, ouvrez le port 8083 dans le pare-feu.

sudo ufw allow 8083

Pour tester cette fonctionnalité, nous utiliserons un client MQTT public basé sur un navigateur. Il en existe quelques-uns, mais le Eclipse Paho JavaScript Client est simple et facile à utiliser. Ouvrez le client Paho dans votre navigateur. Vous verrez ce qui suit :

Remplissez les informations de connexion comme suit :

  • Host doit être le domaine de votre serveur Mosquitto, mqtt.example.com.
  • Port doit être 8083.
  • ClientId peut être laissé à la valeur par défaut, js-utility-DI1m6.
  • Path peut être laissé à la valeur par défaut, /ws.
  • Nom d'utilisateur doit être votre nom d'utilisateur Mosquitto ; ici, nous avons utilisé sammy.
  • Password doit être le mot de passe que vous avez choisi.

Les champs restants peuvent être laissés à leurs valeurs par défaut.

Après avoir appuyé sur Connecter, le client basé sur un navigateur Paho se connectera à votre serveur Mosquitto.

Pour publier un message, accédez au volet Publier un message, remplissez Sujet comme test et saisissez un message dans la section Message. . Ensuite, appuyez sur Publier. Le message s'affichera dans votre terminal mosquitto_sub.

Conclusion

Nous avons maintenant mis en place un serveur MQTT sécurisé, protégé par mot de passe et sécurisé par SSL. Cela peut servir de plate-forme de messagerie robuste et sécurisée pour tous les projets que vous imaginez. Certains logiciels et matériels populaires qui fonctionnent bien avec le protocole MQTT incluent :

  • OwnTracks, une application de géolocalisation open source que vous pouvez installer sur votre téléphone. OwnTracks rapportera périodiquement des informations de position à votre serveur MQTT, que vous pourrez ensuite stocker et afficher sur une carte, ou créer des alertes et activer le matériel IoT en fonction de votre emplacement.
  • Node-RED est une interface graphique basée sur un navigateur pour "câbler" l'Internet des objets. Vous faites glisser la sortie d'un nœud vers l'entrée d'un autre et pouvez acheminer les informations à travers des filtres, entre différents protocoles, dans des bases de données, etc. MQTT est très bien supporté par Node-RED.
  • Le ESP8266 est un microcontrôleur wifi peu coûteux avec des capacités MQTT. Vous pouvez en connecter un pour publier des données de température sur un sujet, ou peut-être vous abonner à un sujet sur la pression barométrique et faire retentir un buzzer lorsqu'une tempête arrive !

Ce ne sont là que quelques exemples populaires de l'écosystème MQTT. Il y a beaucoup plus de matériel et de logiciels qui parlent le protocole. Si vous avez déjà une plate-forme matérielle préférée ou un langage logiciel, il a probablement des capacités MQTT. Amusez-vous à faire parler vos « choses » !