【安全】进阶的Mosquitto:搭建一个安全的MQTT服务

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: 物联网与无线网络 文章标签: 物联网 MQTT 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljm1995/article/details/124409075
版权

目录

一、基础版Mosquitto安装及运行

Mosquitto安装

  • 添加存储库
$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa
  • 更新软件包
$ sudo apt-get update
  • 安装
$ sudo apt-get install mosquitto -y
  • 安装命令行客户端
$ sudo apt-get install mosquitto-clients

Mosquitto运行

参数描述
-h服务器主机,默认localhost
-t指定主题
-u用户名
-P密码
-i客户端id,唯一
-m发布的消息内容
  • 订阅
$ mosquitto_sub -t "test/#" -m "hello"
  • 发布
$ mosquitto_sub -t "test/#"

二、基础安全版Mosquitto安装及运行(需要输入密码)

Mosquitto安装

  • 添加存储库
$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa
  • 更新软件包
$ sudo apt-get update
  • 安装
$ sudo apt-get install mosquitto -y
  • 安装命令行客户端
$ sudo apt-get install mosquitto-clients -y

Mosquitto配置

$ sudo nano /etc/mosquitto/mosquitto.conf

pid_file /var/run/mosquitto.pid 

# 消息持久存储 
persistence true 
persistence_location /var/lib/mosquitto/ 

# 日志文件 
log_dest file /var/log/mosquitto/mosquitto.log 

# 其他配置 
include_dir /etc/mosquitto/conf.d 

###添加用户验证信息

# 禁止匿名访问 
allow_anonymous false 

# 认证配置 
password_file /etc/mosquitto/pwfile 

# 权限配置 
acl_file /etc/mosquitto/aclfile
  • 认证配置pwfile
    创建用户信息文件
$ sudo touch /etc/mosquitto/pwfile
  • 添加用户信息
$ sudo mosquitto_passwd /etc/mosquitto/pwfile user1 #user1为用户名,输入密码为 123456
$ sudo mosquitto_passwd /etc/mosquitto/pwfile user2 #user2为用户名,输入密码为 123456
  • 用户权限配置aclfile
$ sudo nano /etc/mosquitto/aclfile

# user1只能发布以test为前缀的主题,订阅以$SYS开头的主题即系统主题 
user user1 
topic write test/# 
topic read $SYS/# 

# user2只能订阅以test为前缀的主题 
user user2 
topic read test/#
  • 配置完成后重启服务
$sudo service mosquitto restart

Mosquitto测试

参数描述
-h服务器主机,默认localhost
-t指定主题
-u用户名
-P密码
-i客户端id,唯一
-m发布的消息内容
  • 订阅
$ mosquitto_sub -h localhost -t "test/#" -u user1 -P 123456 -i "client1"
  • 发布
$ mosquitto_pub -h localhost -t "test/abc" -u user2 -P 123456 -i "client3" -m "How are you?"

效果

发布者:
在这里插入图片描述
订阅者:
在这里插入图片描述

三、安全版Mosquitto安装及运行

Mosquitto安装

  • 添加存储库
$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa
  • 更新软件包
$ sudo apt-get update
  • 安装
$ sudo apt-get install mosquitto -y
  • 安装命令行客户端
$ sudo apt-get install mosquitto-clients -y

TLS安装

  • 生成私有证书颁发机构(CA)以将 TLS 与 Mosquitto 一起使用
    – 进入mosquitto的安装目录下的certs文件夹
$ cd /certs/mosquitto/certs

– 创建一个 2,048 位的根密钥并保存在 ca.key 文件中

$ openssl genrsa -out ca.key 2048

– 使用之前创建的保存在 ca.key 文件中的 2,048 位私钥,并生成一个带有自签名 X.509 数字证书的 ca.crt 文件。该命令使自签名证书的有效期为 3,650 天,该值在 -days 选项之后指定:(附:ca.crt是CA机构的证书,用来证明CA是CA)

$ openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

注意:输入上述命令后,openssl将会询问一些信息,这些信息将被合并入证书中。若不想输入,可以直接按Enter。其中,common name这一项需要输入,例如输入“0.0.0.0”。

– 运行以下命令可显示生成的证书颁发机构证书文件的数据和详细信息:

$ openssl x509 -in ca.crt -noout -text
  • 为 Mosquitto 服务器创建证书
    – 生成一个 2,048 位的根密钥并保存在 server.key 文件中
$ openssl genrsa -out server.key 2048

– 生成证书签名请求(CSR)。使用先前创建的保存在 server.key 文件中的 2,048 位私钥,生成一个 server.csr 文件 (附录:csr文件用于向CA机构请求一个证书)

$  openssl req -new -key server.key -out server.csr

注意:输入上述命令后,openssl将会询问一些信息,这些信息将被合并入证书中。若不想输入,可以直接按Enter。其中,common name这一项需要输入,输入服务器的ip“0.0.0.0”。

  • 为 Mosquitto 服务器生成一个带有签名的 X.509 数字证书的 server.crt 文件。 该命令使签名证书的有效期为 3,650 天,该值在 -days 选项之后指定。(附录:最后生成服务器端的证书,server.crt证书)
$ sudo openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256
  • 修改上述生成文件的权限,使得能访问它们
$ sudo chmod 777 XXX

Mosquitto配置

$ sudo nano /etc/mosquitto/mosquitto.conf

#允许匿名访问
allow_anonymous true

#定义监听接口
listener 8883
cafile /etc/mosquitto/certs/ca.crt
certfile /etc/mosquitto/certs/server.crt
keyfile /etc/mosquitto/certs/server.key

#定义tls等级
tls_version tlsv1.3
  • 配置完成之后重启mosquitto
$ sudo service mosquitto restart

Mosquitto测试

  • 订阅
$ mosquitto_sub -p 8883 -h 192.168.64.130 --cafile ca.crt -t t1 --debug
  • 发布
$ mosquitto_pub -p 8883 -h 192.168.64.130 --cafile ca.crt -t t1 --debug -m "hello"

效果

发布者:

在这里插入图片描述
订阅者:
在这里插入图片描述

注意

  • ca的ip和server的ip要不一样
  • 加上 mosquitto_pub or mosquitto_sub 的时候加上 -debug,会输出具体的信息

参考:
https://www.cxyzjd.com/article/weixin_34363171/88845986
http://www.steves-internet-guide.com/mosquitto-broker/
https://segmentfault.com/a/1190000014250065
纠错:https://stackoverflow.com/questions/34693520/mqtt-server-with-ssl-tls-error-unable-to-load-server-key-file

植齿添牙
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
射频(RF)基本理论:定义、特性、调制、扩频
ljm1995的博客
09-29 6万+
参考: INTRO TO SDR AND RF SIGNAL ANALYSIS 一文让你读懂调幅、调相、调频、 与 I/Q 调制?它们的区别详解 无线网络技术教程(第二版) 金光、江先亮编 数字调制系列:IQ调制基本理论 1. 什么是射频? 射频简称RF,是高频交流变化电磁波的简称。电磁波其实就是比较熟悉的概念了。依据麦克斯韦的电磁场理论:振荡的电场产生振荡的磁场,振荡的磁场产生振荡...
【5G入门】MCS调制编码方案简介
热门推荐
ljm1995的博客
04-25 2万+
​ 目录参考资料:1. MCS简介MCS是什么如何选择MCS有哪些MCS可供选择如何配置MCS示例 参考资料: 链接: 5G NR Modulation and Coding Scheme – Modulation and Code Rate. 1. MCS简介 MCS是什么 MCS(Modulation and Coding Scheme,即调制编码方案)定义了一个RE(Resource Element,资源单位1)可以承载的有效比特数。一共有0-31号种MCS方案,其中29-31号做保留。MCS索引越高
MQTT——工具mosquitto使用及问题记录
FREEDOM_X的专栏
06-21 1076
Mosquitto是一款开源消息代理软件,实现了MQTT(Message Queuing Telemetry Transport)协议。Mosquitto提供了一个可靠的消息传输机制,提供轻量级的,支持可发布/可订阅的的消息推送模式,允许设备和应用程序通过发布和订阅消息进行通信,使设备对设备之间的短消息通信变得简单。它支持多种编程语言和平台,并且具有低延迟和高可扩展性的特点。
WiFi的基本调制过程
ljm1995的博客
11-25 1万+
参考:Parallel Inclusive Communication for Connecting Heterogeneous IoT Devices at the Edge 基本的WiFi调制分为以下三个步骤: 1. 将信号调制到正弦波上。 WiFi采用QAM(正交振幅调制),用I/Q信号表示的话,就是利用相位(θ=arctan Q(k)/I(k))和幅度差(a=√(I^2(k)+Q^2...
蓝牙调制
ljm1995的博客
11-26 8501
参考:Parallel Inclusive Communication for Connecting Heterogeneous IoT Devices at the Edge 《从创意到原型:物联网应用快速开发》 董玮,高艺编著 详解蓝牙标准中的GFSK调制:https://blog.csdn.net/lovehua365/article/deta...
用树莓派+lora shield搭建一个LoRaWAN网关
ljm1995的博客
11-25 5225
文章目录1. 创建单信道LoRaWAN网关1.1 准备工作配置树莓派上网开启树莓派SPI接口安装必需库文件1.2 正式开始把LoRa shield连接到树莓派上下载单信道LoRa网关代码到树莓派 1. 创建单信道LoRaWAN网关 1.1 准备工作 配置树莓派上网 网上教程很多,不再介绍。 开启树莓派SPI接口 输入命令 pi@raspberrypi:~ $ sudo raspi-config 在"Interfacing Options"选项中,找到SPI选项,选择enable。 安装必需库文件 使
如何让nRF52840 dongle化身为BLE sniffier (过程详细记录)
ljm1995的博客
09-22 4077
参考链接: How to install BLE Sniffer on nRF52840 Dongle and run it – Jimmy's thing 软件环境: Windows 10 Python v3.6 or later: 安装地址:Python Releases for Windows | Python.org Wireshark v2.4.6 or later: 安装地址:Wireshark · Download nRF Connect: 安装地址:nRF Connect fo.
低功耗广域网:关键特性
ljm1995的博客
10-24 2349
参考:《从创意到原型:物联网应用快速开发》 董玮 高艺 编著 介绍详细,适合初学无线网络和物联网的童鞋 —————————————————————————————————————— 低功耗广域网(LPWAN) 一.分类 工作在授权频段的技术:NB-IoT、EC-GSM 工作在非授权频段的技术:Lora、SigFox 二. 关键特性 1. 通信距离长 LPWAN使用单跳实现了长距离...
基于linux的MsQUIC编译及样例运行
ljm1995的博客
09-09 1906
参考链接: https://github.com/microsoft/msquic/blob/main/docs/BUILD.md 软件相关版本 Ubuntu 20.04 编译/构建 1. 下载源代码 $ git clone --recursive https://github.com/microsoft/msquic.git 2. Powershell安装: 安装链接(根据自己的ubuntu版本选择): https://docs.microsoft.com/en-us/powers..
Arduino Uno + Lora shield rf95_server 提示错误“Init failed!”
ljm1995的博客
10-12 1496
错误描述 在使用原始的Arduino提供的示例rf95_server和rf95_client的时候,烧了rf96_server的板子会出现“init failed!”的错误,如下。 问题解决 经过排查,初始化失败由Led相干代码引起,因此将它们注释掉就好了,具体注释语句如下: int led = 9; pinMode(led, OUTPUT); digitalWrite(led, HIGH); digitalWrite(led, LOW); 示例试验 成功收到了数据包 ...
Grove-Lora Radio:修改库函数使能修改扩频因子、带宽参数、码率
ljm1995的博客
10-28 766
Grove-Lora Radio的使用详见:http://wiki.seeedstudio.com/cn/Grove_LoRa_Radio/ 但是网站中提供的Grove_LoRa_433MHz_and_915MHz_RF-master中的示例代码只能修改RF的频率,不能修改LoRa扩频因子、带宽等参数。研究了一下午,终于搞明白怎么修改库函数,特在此记录。 注意!必须找到与Grove_LoRa_...
MQTT协议与IoT通信】MQTT协议的使用和管理
weixin_39372311的博客
07-24 1565
MQTT是一种基于发布/订阅模式的消息传输协议,由IBM于1999年提出,旨在实现轻量级、低带宽、可靠的消息传输。它特别适用于资源受限的设备(如传感器、微控制器)和不稳定的网络环境(如移动通信、卫星通信)。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1322
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
2024浙江省行政区划矢量图层-省市县乡镇四级行政区划数据下载-带python代码
最新发布
08-02
2024最新浙江省行政区划矢量图层数据,包含省、市、县、乡镇四级行政区划数据下载,附带shp转geojson的python代码
年度销售计划表.xlsx.xlsx
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
蓝牙BLE 4.0开发课程
08-01
蓝牙BLE 4.0课程
每日销售情况统计表.xls
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
TI官网cc2530资料.zip
08-01
TI官网cc2530资料.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值