MQTT mosquitto.conf 參數說明

Mosquitto MQTT 安裝

2016年8月17日

Tags :UbuntuMosquittoMQTT

• MQTT 的全名為 Message Queuing Telemetry Transport，為 IBM 和 Eurotech 共同製定出來的協定，MQTT 是為了物聯網設計的協定，透過Publish/Subscribe 的方式來做訊息傳送。
• Publish/Subscribe 有三種主要的組成元件，分別為Publisher、Subscriber 以及 Topic。
• mosquitto 為 Eclipse 所開發的開源 MQTT broker 和給用戶端使用C語言的API介面，目前最新版本為 V1.4.9。

Prerequisites

sudo wget http://repo.mosquitto.org/debian/mosquitto-repo.gpg.key sudo apt-key add mosquitto-repo.gpg.key cd /etc/apt/sources.list.d/ sudo wget http://repo.mosquitto.org/debian/mosquitto-wheezy.list sudo apt-get update

Install Mosquitto Broker

sudo apt-get install mosquitto

Install Mosquitto Client

sudo apt-get install mosquitto-clients

測試

開啟兩個終端機分別輸入
終端機1(Subscribe)

mosquitto_sub -d -t hello/world

-d :debug 模式 , -t :訂閱的主題名稱 , -h :Broker's IP , -p :Broker's port
終端機2(Publish)

mosquitto_pub -d -t hello/world -m "Hello from Terminal window 2!"

-m :發送的文字內容
當兩個command line 都輸入完後終端機分別會看到
終端機1(Subscribe)

Client mosqsub/83-MQTT1 sending CONNECT Client mosqsub/83-MQTT1 received CONNACK Client mosqsub/83-MQTT1 sending SUBSCRIBE (Mid: 1, Topic: hello/world, QoS: 0) Client mosqsub/83-MQTT1 received SUBACK Subscribed (mid: 1): 0 Client mosqsub/83-MQTT1 received PUBLISH (d0, q0, r0, m0, 'hello/world', ... (29 bytes)) Hello from Terminal window 2!

終端機2(Publish)

MQTT@MQTT:~$ mosquitto_pub -d -t hello/world -m "Hello from Terminal window 2!" Client mosqpub/82-MQTT sending CONNECT Client mosqpub/82-MQTT received CONNACK Client mosqpub/82-MQTT sending PUBLISH (d0, q0, r0, m1, 'hello/world', ... (29 bytes)) Client mosqpub/82-MQTT sending DISCONNECT

mosquitto.conf 參數說明

設定檔設置於 /etc/mosquitto/mosquitto.conf
詳細的參數說明如下：

# ================================================= ================ # General configuration # ================================================= ================    # 客戶端心跳的間隔時間 #retry_interval 20    # 系統狀態的刷新時間 #sys_interval 10    # 系統資源的回收時間，0表示盡快處理 #store_clean_interval 10    # 服務進程的PID #pid_file /var/run/mosquitto.pid    # 服務進程的系統用戶 #user mosquitto    # 客戶端心跳消息的最大並發數 #max_inflight_messages 10    # 客戶端心跳消息緩存隊列 #max_queued_messages 100    # 用於設置客戶端長連接的過期時間，默認永不過期 #persistent_client_expiration    # ================================================= ================ # Default listener # ================================================= ================    # 服務綁定的IP地址 #bind_address    # 服務綁定的端口號 #port 1883    # 允許的最大連接數，-1表示沒有限制 #max_connections -1    # cafile：CA證書文件 # capath：CA證書目錄 # certfile：PEM證書文件 # keyfile：PEM密鑰文件 #cafile #capath #certfile #keyfile    # 必須提供證書以保證數據安全性 #require_certificate false    # 若require_certificate值為true，use_identity_as_username也必須為true #use_identity_as_username false    # 啟用PSK（Pre-shared-key）支持 #psk_hint    # SSL/TSL加密算法，可以使用"openssl ciphers"命令獲取 # as the output of that command. #ciphers    # ================================================= ================ # Persistence # ================================================= ================    # 消息自動保存的間隔時間 #autosave_interval 1800    # 消息自動保存功能的開關 #autosave_on_changes false    # 持久化功能的開關 persistence true    # 持久化DB文件 #persistence_file mosquitto.db    # 持久化DB文件目錄 #persistence_location /var/lib/mosquitto/    # ================================================= ================ # Logging # ================================================= ================    # 4種日誌模式：stdout、stderr、syslog、topic # none 則表示不記日誌，此配置可以提升些許性能 log_dest none    # 選擇日誌的級別（可設置多項） #log_type error #log_type warning #log_type notice #log_type information    # 是否記錄客戶端連接信息 #connection_messages true    # 是否記錄日誌時間 #log_timestamp true    # ================================================= ================ # Security # ================================================= ================    # 客戶端ID的前綴限制，可用於保證安全性 #clientid_prefixes    # 允許匿名用戶 #allow_anonymous true    # 用戶/密碼文件，默認格式：username:password #password_file    # PSK格式密碼文件，默認格式：identity:key #psk_file    # pattern write sensor/%u/data # ACL權限配置，常用語法如下： # 用戶限制：user # 話題限制：topic [read|write] # 正則限制：pattern write sensor/%u/data #acl_file    # ================================================= ================ # Bridges # ================================================= ================    # 允許服務之間使用"橋接"模式（可用於分佈式部署） #connection #address [:] #topic [[[out | in | both] qos-level] local-prefix remote-prefix]    # 設置橋接的客戶端ID #clientid    # 橋接斷開時，是否清除遠程服務器中的消息 #cleansession false    # 是否發布橋接的狀態信息 #notifications true    # 設置橋接模式下，消息將會發佈到的話題地址 # $SYS/broker/connection//state #notification_topic    # 設置橋接的keepalive數值 #keepalive_interval 60    # 橋接模式，目前有三種：automatic、lazy、once #start_type automatic    # 橋接模式automatic的超時時間 #restart_timeout 30    # 橋接模式lazy的超時時間 #idle_timeout 60    # 橋接客戶端的用戶名 #username    # 橋接客戶端的密碼 #password    # bridge_cafile：橋接客戶端的CA證書文件 # bridge_capath：橋接客戶端的CA證書目錄 # bridge_certfile：橋接客戶端的PEM證書文件 # bridge_keyfile：橋接客戶端的PEM密鑰文件 #bridge_cafile #bridge_capath #bridge_certfile #bridge_keyfile    # 自己的配置可以放到以下目錄中 include_dir /etc/mosquitto/conf.d

參考來源 :

1. Mosquitto簡要教程（安裝/使用/測試）
2. Tutorial: IOT / Installing and Testing Mosquitto MQTT on the Raspberry Pi

認證方式
Broker的認證方式，Mosquitto端提供了四種認證方法分別為

• 無認證
• 帳號/密碼
• 預先共享密鑰(Pre-shared Key)加密
• 憑證加密

無認證

要打開 /etc/mosquitto/mosquitto.conf 設定檔將allow_anonymous設定為true即可。此時我們可以利用mosquitto_sub來測試
Subscribe

mosquitto_sub -h "" -v -t ""

Publish

mosquitto_pub -h "" -v -t "" -m ""

-t :訂閱的主題，-v :連主題名稱也列印在銀幕上。

帳號/密碼

• 新增帳號密碼
  使用此方式需利用上述的 mosquitto_passwd 產生密碼，並將密碼檔案名稱設定到password_file此欄位。
  

  mosquitto_passwd -c "" ""

  如果passwordfile檔案已經存在，則下次新增使用者則不需要加 -c

  下列命令將新產生一個密碼檔案/etc/mosquitto/passwd，並建立一個帳號名稱為easy，使用者輸入密碼後即可建立帳號與密碼
  

  sudo mosquitto_passwd -c /etc/mosquitto/passwd easy Password: xxxx Reenter password: xxxx

• 設定ACL(Access Control List)
  Path : /etc/mosquitto/acl 內容如下:
  

  # 用戶easy 對於主題hello/world 能夠進行寫入 user easy topic write hello/world # 用戶easy 對於主題hello/world 能夠進行讀取 user easy topic read hello/world

• 最後更改 /etc/mosquitto/mosquitto.conf 設定檔
  

  allow_anonymous false #不允許匿名傳輸 password_file /etc/mosquitto/passwd #配置用戶(username)密碼 acl_file /etc/mosquitto/acl #設置用戶與主題(topic)存取權限

• 測試
  Subscribe
  

  mosquitto_sub -h "" -v -d -t "" -u "" -P ""

  Publish
  

  mosquitto_pub -h "" -v -t "" -m "" -u "" -P ""

預先共享密鑰(Pre-shared Key)加密

這個認證方式需要使用到OpenSSL中的預先共享密鑰加密方式，而在OpenBSD開發的LibreSSL專案中，因為SSL/TLS安全性的問題，預先共享密鑰加密方式暫時被移除了。
未移除之前的修改方式如下：

• 設定PSK(Pre-Shared Key)
  Path : /etc/mosquitto/psk 內容如下:
  每一行有兩個欄位以':'隔開，第一個欄位為帳號而第二個欄位即為密鑰
  

  #帳號:密鑰 easy:b7ecaa34a9dbd7bfb8e9ee707427176d04d19eb3

• 修改 /etc/mosquitto/mosquitto.conf 設定檔
  

  #不允許匿名傳輸 allow_anonymous false # 取消 MQTT username for access require_certificate true # 開啟 pre-shared-key based encryption use_identity_as_username true # 設置 psk_file psk_file /mosquitto/psk

• 測試
  Subscribe
  

  mosquitto_sub -h "" -v -d -t "" --psk-identity "" -psk ""

  Publish
  

  mosquitto_pub -h "" -v -t "" --psk-identity "" -psk "" -m ""

憑證加密

TLS是非常成熟的安全協議，在握手的時候便可以創建安全連接，使得駭客無法竊聽或者篡改內容。使用TLS的時候有以下注意點：

1. 盡可能使用高版本的TLS。
2. 驗證X509憑證連結防止中間人攻擊。
3. 儘量使用有CA發佈的證書。

產生憑證的方法可以參考如下

• 產生憑證
  建立CA(Certificate Authority)所需的證書及密鑰
  

  openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.crt

  系統端的憑證
  

  # 產生不加密的金鑰 openssl genrsa -out server.key 2048 # 產生憑證簽發請求檔案(Certificate Signing Request) openssl req -new -key server.key -out server.csr # 憑證簽發 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

• 修改 /etc/mosquitto/mosquitto.conf 設定檔
  

  listener 8883 cafile /etc/mosquitto/ca.crt certfile /etc/mosquitto/server.crt keyfile /etc/mosquitto/server.key

• 測試
  Subscribe
  

  mosquitto_sub -d -h "" -p 8883 -t topic --cafile ca.crt

  Publish
  

  mosquitto_pub -d -h "" -p 8883 -t topic -m "Hello World!" --cafile ca.crt

參考來源:

1. Mosquitto - an Open Source MQTT broker
2. mosquitto介紹 · MQTT and mosquitto

上一篇下一篇