mosquitto.conf 手册页

心语明洲

已于 2023-09-26 05:22:04 修改

阅读量1.5k

点赞数

文章标签：单片机

于 2023-09-23 07:19:54 首次发布

本文链接：https://blog.csdn.net/lvmingzhou/article/details/133194823

版权

名字

mosquitto.conf — mosquitto 的配置文件

概要

mosquitto.conf

描述

mosquitto.conf 是的配置文件莫斯基托。只要 mosquitto 可以读取，此文件就可以驻留在任何位置它。默认情况下，mosquitto 不需要配置文件，并且会使用下面列出的默认值。参见莫斯基托（8）以获取有关如何加载配置文件的信息。

可以指示 Mosquitto 通过发送来重新加载配置文件一个 SIGHUP 信号，如 mosquitto（8）的信号部分所述。并非所有配置选项都可以重新加载，如以下选项中所述。

文件格式

所有以 # 作为第一个字符的行都被视为评论。

配置行以变量名称开头。变量值与名称之间用单个空格分隔。

认证

下面描述的身份验证选项允许广泛的与侦听器选项结合使用的可能性。这部分旨在澄清可能性。有关概述，请访问 Authentication methods | Eclipse Mosquitto

最简单的选择是完全没有身份验证。这是如果未提供其他选项，则为默认值。未经身份验证通过使用基于证书的证书提供加密支持基于 SSL/TLS 的选项证书文件和密钥文件。

MQTT 提供用户名/密码身份验证作为协议。使用 password_file 选项定义有效的用户名和密码。请务必使用网络加密，如果正在使用此选项，否则用户名和密码将是容易受到拦截。使用控制是否密码是全局必需的，还是基于每个侦听器所必需的。per_listener_settings

Mosquitto提供了动态安全插件，用于处理用户名/密码身份验证和访问控制在很多比密码文件更灵活的方式。请参阅 Dynamic Security Plugin | Eclipse Mosquitto

使用基于证书的加密时，有三个选项影响身份验证。第一个是require_certificate，它可以设置为 true 或 false。如果为 false，则客户端将验证服务器，但不需要客户端为服务器提供任何内容：身份验证是仅限于内置的 MQTT 用户名/密码。如果 require_certificate为 true，则客户端必须提供有效的证书以成功连接。在这种情况下，第二和第三选项，use_identity_as_username和 use_subject_as_username，变得相关。如果设置为 true， use_identity_as_username导致公用名（CN）从要使用的客户端证书，而不是 MQTT 用户名访问控制目的。不使用密码，因为它是假定只有经过身份验证的客户端才具有有效的证书。这意味着您在 cafile 或 capath 中包含的任何 CA 证书将能够颁发有效的客户端证书连接到您的经纪人。如果use_identity_as_username为假，客户端必须正常进行身份验证（如果需要 password_file）通过 MQTT 选项。同样的原则也适用对于use_subject_as_username选项，但整个证书主题用作用户名，而不仅仅是 CN。

通过psk_hint使用基于预共享密钥的加密时和psk_file选项，客户端必须提供有效的标识和密钥，以便在任何 MQTT 通信之前连接到代理发生。如果use_identity_as_username为真，则 PSK 标识用于代替 MQTT 用户名进行访问控制。如果use_identity_as_username为 false，则客户端可能仍如果使用 MQTT 用户名/密码进行身份验证，如果使用 password_file选项。

证书和基于 PSK 的加密均在基于每个侦听器。

可以创建身份验证插件来增强 password_file、acl_file和psk_file选项，例如 .SQL 查找。

可以在以下位置支持多种身份验证方案：一次。可以创建一个配置，该配置具有所有上面描述的不同加密选项，因此身份验证方式的数量。

常规选项

acl_file文件路径

设置访问控制列表文件的路径。如果定义，文件的内容用于控制客户端访问代理上的主题。

如果定义了此参数，则仅主题列出将具有访问权限。添加了主题访问权限格式的行：

topic [read|write|readwrite|deny] <topic>

访问类型使用“读取”、“写入”、 “读写”或“拒绝”。此参数是可选的（除非 <主题> 包括空格字符） - 如果不是给定，则访问权限是读/写的。<主题>可以包含 + 或 # 通配符，如订阅。“拒绝”选项可用于显式拒绝访问否则将授予的主题通过更广泛的读/写/读写语句。任何“拒绝” 在授予读/写访问权限的主题之前处理主题。

第一组主题应用于匿名客户端，假设真。用户特定主题 ACL 在用户之后添加行如下所示：allow_anonymous

user <username>

此处引用的用户名与中的用户名相同。它不是客户端标识。password_file

也可以根据模式定义 ACL 主题内的替换。形式与对于主题关键字，但使用模式作为关键词。

pattern [read|write|readwrite|deny] <topic>

可用于替代的模式有：

%c 以匹配客户端的客户端 ID
%you 以匹配客户端的用户名

替换模式必须是的唯一文本那个级别的层次结构。模式 ACL 适用于所有用户，即使“user”关键字以前是鉴于。

例：

pattern write sensor/%u/data

允许访问网桥连接消息：

pattern write $SYS/broker/connection/%c/state

如果 ACL 文件行的第一个字符是 # 它被视为注释。

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重新加载信号时。当前加载的 ACL 将被释放并重新加载。现有订阅将重新加载后受到影响。

另请参阅 Dynamic Security Plugin | Eclipse Mosquitto

allow_anonymous [ 真 | 假 ]

确定客户端是否允许在不提供用户名的情况下连接连接。如果设置为 false，则应创建另一种连接方式控制经过身份验证的客户端访问。

默认为 false，除非配置中未定义侦听器文件，在这种情况下，它设置为 true，但只允许从本地计算机进行连接。

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重要

在版本 1.6.x 及更早版本中，此选项默认为为 true，除非有其他证券选项集。

重新加载信号时。

allow_duplicate_messages [ 真 | 假 ]

此选项已弃用，将在未来版本。该行为将默认为 true。

如果客户端订阅了多个订阅重叠，例如 foo/# 和 foo/+/baz，然后是 MQTT 期望当代理收到消息时与两个订阅匹配的主题，例如 foo/bar/baz，则客户端应该只接收消息一次。

Mosquitto跟踪消息具有哪些客户端为了满足此要求而被发送到。这选项允许禁用此行为，这可能会如果您有大量客户端，则很有用订阅了同一组主题并希望最小化内存使用量。

如果您事先知道，可以安全地将其设置为 true 您的客户永远不会有重叠订阅，否则您的客户必须能够正确处理重复的消息，即使那时 QoS=2。

默认值为 true。

此选项适用于全球。

重新加载信号时。

allow_zero_length_clientid [ 真 | 假 ]

MQTT 3.1.1 和 MQTT 5 允许客户端以零连接长度客户端 ID 并让代理生成客户端他们的ID。使用此选项允许/禁止此操作行为。默认值为 true。

另请参阅选项。auto_id_prefix

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重新加载信号时。

auth_plugin_deny_special_chars [ 真 | 假 ]

如果为 true，则在 ACL 之前检查客户端的用户名/客户端 ID 需要检查搜索是否存在 “+”或“#”字符。如果以下任一字符在用户名或客户端中找到 id，则 ACL 检查在发送到插件。

此检查可防止恶意用户出现的情况可以使用其中之一绕过 ACL 检查字符作为其用户名或客户端 ID。这是与莫斯基托本身报告的相同问题为 CVE-2017-7650。

如果您完全确定您的插件使用不容易受到此攻击（即，如果您切勿在主题中使用用户名或客户端 ID）然后您可以禁用此额外检查，从而拥有所有ACL 通过设置此选项检查交付到您的插件到假。

默认值为 true。

适用于正在配置的当前身份验证插件。

当前未在重新加载信号时重新加载。

auto_id_prefix前缀

如果为 true，则此选项允许您设置将前缀为自动生成的客户端 ID，以帮助查看原木。默认值为。allow_zero_length_clientidauto-

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重新加载信号时。

autosave_interval 秒

莫斯基托将等待的秒数每次将内存中数据库保存到磁盘。如果设置为 0，则内存中数据库将仅当莫斯奎托退出或收到 SIGUSR1信号。请注意，此设置仅具有如果启用了持久性，则生效。默认值为 1800 秒（30 分钟）。

此选项适用于全球。

重新加载信号时。

autosave_on_changes [ 真 | 假 ]

如果属实，莫斯奎托将计算保留的订阅更改数收到的消息和排队的消息以及如果总数超过然后内存中的数据库将保存到磁盘。如果为假，莫斯基托将保存将内存中的数据库视为磁盘，方法是将时间视为秒。autosave_intervalautosave_interval

此选项适用于全球。

重新加载信号时。

check_retain_source [ 真 | 假 ]

此选项会影响客户端时的情况订阅保留消息的主题。是的发布保留的客户端可能对主题的消息在他们当时有访问权限已发布，但该访问权限随后已发布删除。如果已设置为 true，默认值，保留消息的来源将在它之前检查访问权限再版。设置为 false 时，不会进行任何检查并且保留的消息将始终是发表。check_retain_source

无论选项如何，此选项都适用于全局。per_listener_settings

clientid_prefixes前缀

此选项已弃用，将在未来版本。

如果已定义，则仅具有具有允许与clientid_prefixes匹配的前缀以连接到代理。例如，设置这里的“安全-”是指客户端“安全客户端” 可以连接，但另一个客户端 ID 为“MQTT” 不能。默认情况下，所有客户端 ID 都有效。

此选项适用于全球。

重新加载信号时。请注意，目前连接的客户端将不受任何影响变化。

connection_messages [ 真 | 假 ]

如果设置为 true，则日志将包括客户端连接时的条目和断开。如果设置为 false，这些条目将不会显示。

此选项适用于全球。

重新加载信号时。

include_dir目录

可以使用以下方法包含外部配置文件 include_dir选项。这定义了一个目录将搜索配置文件。所有结束的文件在“.conf”中将作为配置文件加载。它最好将其作为主选项中的最后一个选项文件。此选项将仅从主配置文件。指定的目录不得包含主配置文件。

加载中的配置文件以防万一敏感的字母顺序，大写每个字母在相同小写字母之前排序信。include_dir

示例 include_dir的加载顺序。

给定文件 b.conf， A.conf， 01.conf， a.conf， B.conf，和 00.conf 里面的配置文件将按以下顺序加载：include_dir

<span style="background-color:whitesmoke"><span style="color:#4a4a4a">00.conf
01.conf
A.conf
a.conf
B.conf
b.conf
</span></span>

如果多次使用此选项，则处理每个选项完全按照它们在主配置文件。include_dir

多个include_dir的加载顺序示例。

假设目录 one.d 包含文件 B.conf 和 C.conf，以及第二个目录 two.d 包含文件 A.conf 和 D.conf，以及配置：

<span style="background-color:whitesmoke"><span style="color:#4a4a4a">include_dir one.d
include_dir two.d
</span></span>

然后配置文件将按以下顺序加载：

<span style="background-color:whitesmoke"><span style="color:#4a4a4a"># files from one.d
B.conf
C.conf
# files from two.d
A.conf
D.conf
</span></span>

log_dest目的地

将日志消息发送到特定目标。可能的目的地是：。stdoutstderrsyslogtopicfiledlt

stdout并登录到控制台上的命名输出。stderr

syslog使用用户空间系统日志通常以 /var/log/messages 或 /var/log 或类似。

topic记录到代理主题 “$SYS/broker/log/<严重性>”，其中严重性为 E、W、N、I、M 中的错误之一，警告、通知、信息和消息。消息类型严重性由订阅和取消订阅使用 log_type选项并在 $SYS/broker/log/M/subscribe和 $SYS/broker/log/M/取消订阅。调试消息从不已登录的主题。

目的地需要附加参数，它是要记录到的文件，例如“log_dest文件 /var/log/mosquitto.log”。该文件将在经纪人收到 HUP信号。只能有一个文件目标配置。file

目的地是汽车“诊断日志和跟踪”工具。这要求Mosquitto已使用DLT编译支持。dlt

如果您希望禁用日志记录，请使用“log_dest无”。默认为 stderr。可以指定此选项多次。

请注意，如果代理作为 Windows 运行服务它将默认为“log_dest无”，两者都不是 STDOUT 和 STDERR 日志记录可用。

重新加载信号时。

log_facility当地设施

如果使用系统日志日志记录（不在 Windows 上），则消息默认情况下将记录到“守护程序”工具中。用选择的选项要登录到本地 0 到本地 7 中的哪个。选项值应为整数值，例如“log_facility 5” 以使用本地 5。log_facility

log_timestamp [ 真 | 假 ]

布尔值，如果设置为 true，则时间戳值将添加到每个日志条目。默认值为 true。

重新加载信号时。

log_timestamp_format格式

设置日志时间戳的格式。如果未设置，这是自 Unix 纪元以来的秒数。此选项是将传递的自由文本字符串到 strftime 函数作为格式说明符。自获取 ISO 8601 日期时间，例如：

<span style="background-color:whitesmoke"><span style="color:#4a4a4a">log_timestamp_format %Y-%m-%dT%H:%M:%S
					</span></span>

重新加载信号时。

log_type类型

选择要记录的消息类型。可能的类型包括：调试、错误、警告、通知、信息、订阅、取消订阅、websockets、无、全部。

默认为错误、警告、通知和信息。此选项可以多次指定。请注意，调试类型（用于解码传入/传出网络数据包）永远不会已登录的主题。

重新加载信号时。

max_inflight_bytes计数

传出 QoS 1 和 2 消息将允许在传输中，直到此字节已达到限制。这允许根据以下条件控制传出消息速率邮件大小而不是邮件计数。如果限制设置为 100，仍然允许超过 100 字节的消息，但只允许一条消息可以一次飞行。默认值为 0。（无限制）。

另请参阅选项。max_inflight_messages

此选项适用于全球。

重新加载信号时。

max_inflight_messages计数

可以传出 QoS 1 或 2 消息的最大数量在同时传输的过程中。这包括当前正在通过的邮件正在重试的握手和消息。默认值为 20。设置为 0 表示无最大值。如果设置为 1，这将保证按顺序交付消息。

此选项适用于全球。

重新加载信号时。

max_keepalive值

对于 MQTT v5 客户端，可以具有服务器发送一个“服务器保持活动状态”值，该值将覆盖客户端设置的激活值。这旨在用作一种机制，以表示服务器将提前断开客户端的连接预期，并且客户端应使用新的保持活力价值。max_keepalive选项允许您指定客户端只能与 keepalive 连接小于或等于此值，否则它们将被发送一个服务器保持连接，告诉他们使用 max_keepalive。这仅适用于 MQTT v5 客户端。允许的最大值和默认值为 65535.

设置为 0 以允许客户端设置 keepalive = 0，这意味着不进行保活检查，客户端将如果没有消息，则永远不会被代理断开连接收到。你应该非常确定这是行为你想要的。

对于 MQTT v3.1.1 和 v3.1 客户端，没有机制告诉客户他们应该使用什么 keepalive 值。如果 MQTT v3.1.1 或 v3.1 客户端指定了保持连接时间大于max_keepalive，他们将被发送具有“标识符被拒绝”原因的 CONNACK 消息代码，并断开连接。

此选项适用于全球。

重新加载信号时。

max_packet_size值

对于 MQTT v5 客户端，可以具有服务器发送一个“最大数据包大小”值，该值将指示客户端不接受 MQTT 数据包大小大于字节。这适用于完整的 MQTT 数据包，而不仅仅是有效载荷。将此选项设置为正值将将最大数据包大小设置为该字节数。如果客户端发送的数据包大于此值值，它将断开连接。这适用于所有客户端，无论其协议版本如何使用，但 v3.1.1 及更早版本的客户端当然会未收到最大数据包大小信息。默认为无限制。value

此选项适用于所有客户端，而不仅仅是那些使用 MQTT v5，但无法通知客户端使用 MQTT v3.1.1 或 MQTT v3.1 的限制。

禁止设置为 20 字节以下，因为它是甚至可能干扰正常的客户端操作有效载荷小。

此选项适用于全球。

重新加载信号时。

max_queued_bytes计数

传出 QoS 1 和 2 消息的数量高于当前正在进行的消息数为由代理排队（每个客户端）。一旦达到此限制，后续消息将被静默丢弃。如果您要发送，这是一个重要的选择消息速率高和/或客户端响应缓慢或可能处于脱机状态长时间。默认值为 0。（无最大值）。

另请参阅选项。如果同时指定了max_queued_messages和max_queued_bytes，数据包将排队，直到达到第一个限制。max_queued_messages

此选项适用于全球。

重新加载信号时。

max_queued_messages计数

要保留的最大 QoS 1 或 2 消息数队列（每个客户端）位于当前消息上方在飞行中。默认值为 1000。设置为 0 表示无最大值（不是推荐）。另请参阅和选项。queue_qos0_messagesmax_queued_bytes

此选项适用于全球。

重新加载信号时。

memory_limit限制

此选项设置代理的最大堆内存字节数将分配，从而对代理的内存使用设置硬性限制。超过此值的内存请求将被拒绝。效果将根据被拒绝的内容而有所不同。如果传入消息正在处理，然后消息将被丢弃，发布客户端将被丢弃将断开连接。如果正在发送传出消息，则单个消息将被丢弃，接收客户端将被丢弃断开。默认为无限制。

仅当编译了内存跟踪支持时，此选项才可用在。

重新加载信号时。设置为较低的值并重新加载将不会导致内存被释放。

message_size_limit限制

此选项设置最大发布有效负载大小经纪人将允许。收到的消息超过此大小将不被经纪人接受。这意味着消息不会转发到订阅客户端，但 QoS 流将完成 QoS 1 或 QoS 2 消息。使用 QoS 5 的 MQTT v1 客户端或 QoS 2 将收到带有“实现特定”的 PUBACK 或 PUBREC 错误“原因码。

默认值为 0，表示所有有效的 MQTT 接受消息。MQTT 施加最大有效负载 268435455 字节的大小。

此选项适用于全球。

重新加载信号时。

password_file文件路径

设置密码文件的路径。如果定义，则文件的内容用于控制客户端访问给经纪人。可以使用 mosquitto_passwd（1）创建文件效用。如果在不支持 TLS 的情况下编译 mosquitto （建议包括 TLS 支持），然后密码文件应为每行的文本文件在“用户名：密码”格式中，冒号和密码是可选的，但建议使用。如果设置为 false，则仅在此文件将能够连接。定义 password_file时设置为 true 为有效，可以与acl_file一起使用，例如读取仅来宾/匿名帐户和定义的用户可以发布。allow_anonymousallow_anonymous

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重新加载信号时。当前加载的用户名和密码数据将被释放并重新加载。已连接的客户端将不会影响。

另见mosquitto_passwd（1）和 Dynamic Security Plugin | Eclipse Mosquitto

per_listener_settings [ 真 | 假 ]

如果为真，则身份验证和访问控制设置将是基于每个侦听器进行控制。以下选项会受到影响：

password_file, , , , , .acl_filepsk_fileallow_anonymousallow_zero_length_clientidauto_id_prefix

plugin, ,plugin_opt_*

请注意，如果设置为 true，则持久客户端（即干净会话设置为 false）已断开连接将使用为侦听器定义的 ACL 设置它是最近连接到的。

默认行为是将其设置为 false，这将保持以前版本的设置行为莫斯基托。

重新加载信号时。

持久性 [ 真 | 假 ]

如果为 true，则连接，订阅和消息数据将写入莫斯基托的磁盘.db在指定的位置 persistence_location。当莫斯基托重新启动时，它将重新加载存储在莫斯基托.db中的信息。这当 Mosquitto 关闭时，数据将写入磁盘，并且也按定义的定期间隔 autosave_interval。写入持久性数据库也可以通过发送莫斯基托SIGUSR1 信号。如果为 false，则数据将仅存储在内存中。默认为 false。

持久性文件可能会在新的版本。代理当前可以读取所有旧格式，但只会以最新格式保存。它应该始终可以安全地升级，但谨慎的用户可能希望采取在安装新的持久性文件之前的副本版本，以便他们可以回滚到早期版本如有必要。

此选项适用于全球。

重新加载信号时。

persistence_file文件名

用于持久性数据库的文件名。默认为 mosquitto.db。

此选项适用于全球。

重新加载信号时。

persistence_location路径

持久性数据库应位于的路径数据处理。如果未给出，则使用当前目录。

此选项适用于全球。

重新加载信号时。

persistent_client_expiration持续时间

此选项允许持久客户端（具有干净会话设置为 false），如果当前未连接，则删除不要在特定时间范围内重新连接。这是一个非标准选项在 MQTT v3.1 中。MQTT v3.1.1 和 v5.0 允许代理删除客户端会话。

设计不良的客户端可能会在使用随机会话时将干净会话设置为 false。生成的客户端 ID。这会导致持久客户端连接一次永远不要重新连接。此选项允许删除这些客户端。此选项允许持久客户端（干净会话设置为 false 的客户端）为如果它们在特定时间范围内未重新连接，则将其删除。

过期期限应为后跟的整数小时、日、周、月和年之一分别。例如：

persistent_client_expiration 2米
persistent_client_expiration 14d
persistent_client_expiration 1年

由于这是一个非标准选项，如果不是，则默认 SET 为永不使持久客户端过期。

此选项适用于全球。

重新加载信号时。

pid_file文件路径

将 pid 文件写入指定的文件。如果未给出（默认值），不会写入任何 pid 文件。如果 pid 无法写入文件，莫斯基托将退出。

如果 mosquitto 由初始化脚本通常需要编写PID 文件。然后应将其配置为例如 /var/run/mosquitto/mosquitto.pid

在重新加载信号时未重新加载。

plugin_opt_* 值

要传递给配置文件。查看具体插件说明，了解详细信息选项可用。plugin

适用于正在配置的当前插件。

这也作为选项提供，但此用法已弃用，将被删除在将来的版本中。auth_opt_*

插件文件路径

指定用于身份验证的外部模块和访问控制。这允许自定义用户名/密码和访问控制功能创建。

可以多次指定以加载多个插件。插件将按顺序处理它们被指定。

如果在配置文件中使用或沿大小，插件检查将在内置检查之后运行。password_fileacl_fileplugin

当前未在重新加载信号时重新加载。

另请参阅 Dynamic Security Plugin | Eclipse Mosquitto

这也作为选项提供，但此用法已弃用，将被删除在将来的版本中。auth_plugin

psk_file文件路径

设置预共享密钥文件的路径。此选项要求侦听器启用 PSK 支持。如果定义，文件的内容用于控制客户端对代理的访问。每一行都应位于格式“身份：键”，其中键是十六进制没有前导“0x”的字符串。连接到启用了 PSK 支持的侦听器必须提供匹配身份和 PSK 以允许加密连接以继续。

如果为 true，则此选项适用于仅配置当前侦听器。如果为 false，则应用此选项给所有听众。per_listener_settingsper_listener_settings

重新加载信号时。当前加载的身份和密钥数据将被释放并重新加载。已连接的客户端将不会影响。

queue_qos0_messages [ 真 | 假 ]

设置为 true 表示队列当持久客户端为断开。当网桥主题配置为 QoS 级别 0 或 1 传入时这些主题的 QoS 2 消息也会排队。这些消息包含在限制中由max_queued_messages强加。默认为 false。

请注意，MQTT v3.1.1 规范规定只有 QoS 1 在这种情况下应保存 2 条消息，以便这是一个非标准选项。

此选项适用于全球。

重新加载信号时。

retain_available [ 真 | 假 ]

如果设置为 false，则保留的邮件不是支持。发送带有保留的消息的客户端如果此选项设置为假。默认值为 true。

此选项适用于全球。

重新加载信号时。

set_tcp_nodelay [ 真 | 假 ]

如果设置为 true，则将TCP_NODELAY选项设置为客户端套接字以禁用 Nagle 算法。这具有减少某些消息延迟的效果可能会增加 TCP 数据包的数量被发送。默认为 false。

此选项适用于全球。

重新加载信号时。

sys_interval 秒

更新之间的整数秒数 $SYS提供状态的订阅层次结构有关代理的信息。如果未设置，则默认为 10 秒。

设置为 0 可禁用发布$SYS层次结构完全。

此选项适用于全球。

重新加载信号时。

upgrade_outgoing_qos [ 真 | 假 ]

MQTT 规范要求传递到订阅者的消息永远不会升级到匹配订阅的 QoS。启用此选项改变此行为。如果设置为 true，则发送到订户将始终匹配其 QoS 订阅。这是一个非标准选项，不是规范提供。默认为 false。upgrade_outgoing_qos

此选项适用于全球。

重新加载信号时。

用户用户名

以 root 身份运行时，请更改为此用户及其主用户启动组。如果设置为“mosquitto”或未设置，如果“莫斯奎托”用户不存在，则 Mosquitto将改为“nobody”用户。如果将其设置为另一个值，并且无法要更改为此用户和组，它将退出，并显示错误。指定的用户必须具有读/写访问权限到持久性数据库（如果要写入）。如果以非 root 用户身份运行，此设置不起作用。默认为 mosquitto。

此设置对 Windows 没有影响，因此您应该以您希望它运行的用户身份运行 Mosquitto 如。

在重新加载信号时未重新加载。

听众

可以控制 mosquitto 监听的网络端口使用侦听器。可以覆盖默认侦听器选项，并且可以创建更多侦听器。

常规选项

bind_address地址

此选项已弃用，将在未来版本。请改用。listener

侦听传入的网络连接仅指定的 IP 地址/主机名。这很有用以限制对某些网络接口的访问。将 mosquitto 的访问限制为本地主机仅使用“bind_address本地主机”。这仅适用于默认侦听器。使用该选项控制其他听众。listener

建议使用显式而不是依赖像这样的隐式默认侦听器选项。listener

在重新加载信号时未重新加载。

bind_interface设备

仅在上侦听传入网络连接指定的接口。这类似于该选项，但很有用当接口具有多个地址或地址可能会更改。bind_address

如果与默认值同时使用侦听器或绑定的地址/主机部分，然后将优先。bind_addresslistenerbind_interface

此选项在 Windows 上不可用。

在重新加载信号时未重新加载。

http_dir目录

当侦听器使用 websockets 协议时，也可以提供HTTP数据。设置为目录包含您要提供的文件。如果这个选项未指定，则没有正常的 HTTP 连接将是可能的。http_dir

在重新加载信号时未重新加载。

侦听器端口 [绑定地址/主机/UNIX 套接字路径]

侦听传入的网络连接指定的端口。第二个可选参数允许要绑定到特定 IP 的侦听器地址/主机名。如果使用此变量并且既不使用全局选项也不使用选项，则默认侦听器将不会启动。bind_addressport

选项允许将此侦听器绑定到特定 IP 通过传递 IP 地址或主机名的地址。为 WebSockets侦听器，只能通过此处的 IP 地址。bind address/host

在支持 Unix 域套接字的系统上，这选项也可用于创建Unix套接字而不是打开 TCP 套接字。在这种情况下，端口必须设置为 0，并且必须提供 UNIX 套接字路径。

可以多次指定此选项。看也是选项。mount_point

在重新加载信号时未重新加载。

max_connections计数

限制连接的客户端总数当前侦听器。设置为具有“无限”连接。请注意，其他可能会施加超出控制范围的限制莫斯基托。参见例如限制。-1

在重新加载信号时未重新加载。

max_qos值

限制客户端连接到此值时允许的 QoS 值听者。默认值为 2，这意味着任何 QoS 都可以使用。设置为 0 或 1 以限制为这些 QoS 值。这利用 MQTT v5 功能来通知限制的客户。MQTT v3.1.1 客户端将不知道限制。客户端发布对于这个QoS过高的侦听器将是断开。

在重新加载信号时未重新加载。

max_topic_alias编号

此选项设置最大主题别名数允许创建 MQTT v5 客户端。此选项适用于每个侦听器。默认值为 10。设置为 0 到禁止使用主题别名。可能的最大值为 65535。

在重新加载信号时未重新加载。

mount_point主题前缀

此选项与侦听器选项一起使用隔离客户端组。当客户端连接时对于使用此选项的侦听器，字符串参数附加到所有主题的开头此客户端。当出现任何前缀时，将删除此前缀消息将发送到客户端。这意味着连接到具有挂载点的侦听器的客户端示例只能看到在主题层次结构示例中及更低版本中发布的消息。

在重新加载信号时未重新加载。

端口端口号

此选项已弃用，将在未来版本。请改用。listener

将默认侦听器的网络端口设置为听着。默认值为 1883。

在重新加载信号时未重新加载。

建议使用显式而不是依赖像这样的隐式默认侦听器选项。listener

协议值

设置当前侦听器要接受的协议。能为、默认值或（如果可用）。mqttwebsockets

Websocket 支持目前由编译时默认。可以使用基于证书的 TLS 使用 WebSocket，除了只有、、、和选项是支持。cafilecertfilekeyfileciphersciphers_tls1.3

在重新加载信号时未重新加载。

socket_domain [ IPv4 | IPv6 ]

默认情况下，侦听器将尝试侦听所有支持的 IP 协议版本。如果你不这样做具有您可能希望的 IPv4 或 IPv6 接口禁用对任一协议的支持版本。特别要注意的是，由于 WebSockets库的限制，它只会尝试打开 IPv6 套接字（如果支持 IPv6）被编译，因此如果 IPv6 不是，则会失败可用。

设置为以强制侦听器仅使用 IPv4，或设置为以强制侦听器仅使用使用 IPv6。如果您希望同时支持 IPv4 和 IPv6，则不要使用该选项。ipv4ipv6socket_domain

在重新加载信号时未重新加载。

use_username_as_clientid [ 真 | 假 ]

设置为如果为 true，则替换客户端的客户端 ID 与其用户名连接。这允许要绑定到客户端 ID 的身份验证，即意味着可以防止一个客户端使用相同的断开另一个连接客户端标识。默认为 false。use_username_as_clientid

If a client connects with no username it will be disconnected as not authorised when this option is set to true. Do not use in conjunction with .clientid_prefixes

This does not apply globally, but on a per-listener basis.

Certificate based SSL/TLS Support

The following options are available for all listeners to configure certificate based SSL support. See also "Pre-shared-key based SSL/TLS support".

cafile file path

cafile is used to define the path to a file containing the PEM encoded CA certificates that are trusted when checking incoming client certificates.

capath directory path

capath is used to define a directory that contains PEM encoded CA certificates that are trusted when checking incoming client certificates. For to work correctly, the certificates files must have ".pem" as the file ending and you must run "openssl rehash <path to capath>" each time you add/remove a certificate. capath

证书文件文件路径

PEM 编码服务器证书的路径。这选项，并且必须存在以启用基于证书的 TLS 加密。keyfile

此选项指向的证书将是当莫斯基托收到 SIGHUP 信号时重新加载。这可用于在现有版本即将过期。

密码 密码：列表

此侦听器允许的密码列表，用于仅限 TLS v1.2 及更早版本，每个版本使用一个冒号。可以使用以下方法获取可用的密码 “OpenSSL密码”命令。

ciphers_tls1.3 密码：列表

此侦听器允许的密码套件列表，对于 TLS v1.3，每个都用冒号分隔。

crlfile 文件路径

如果设置为 true，则可以创建要吊销的证书吊销列表文件访问特定客户端证书。如果你已完成此操作，请使用 crlfile 指向 PEM 编码的吊销文件。require_certificate

DHparam文件文件路径

为了允许使用临时的DH密钥交换，提供转发安全性，侦听器必须加载 DH 参数。这可以使用 DHparamfile 选项。dhparamfile 可以是使用命令生成，例如

<span style="color:#4a4a4a"><span style="background-color:#ffffff"><span style="background-color:whitesmoke"><span style="color:#4a4a4a">openssl dhparam -out dhparam.pem 2048</span></span></span></span>

密钥文件文件路径

如果等于“pem”，则为 PEM 编码的服务器密钥的路径。此选项并且必须在场以启用基于证书的 TLS 加密。如果是“引擎”，这代表私钥的引擎句柄。tls_keyformcertfiletls_keyform

此选项指向的私钥将是当莫斯基托收到 SIGHUP 信号时重新加载。这可用于在现有版本即将过期。

require_certificate [ 真 | 假 ]

默认情况下，启用 SSL/TLS 的侦听器将以类似于启用 HTTPS 的 Web 的方式运行服务器，因为服务器具有签名的证书由 CA 和客户端验证它是否为受信任的证书。总体目标是加密的网络流量。通过设置为 true，客户端连接对此侦听器必须提供有效的证书命令继续网络连接。这允许在外部控制对代理的访问 MQTT 提供的机制。require_certificate

tls_engine引擎

有效的 openssl 引擎 ID。这些可以列出打开 ssl 引擎命令。

tls_engine_kpass_sha1 engine_kpass_sha1

使用私钥密码时的 SHA1 TLS 引擎。某些 TLS 引擎，例如 TPM 引擎可能需要使用密码才能要访问。此选项允许十六进制编码 SHA1哈希的密码直接给引擎，而不是提示用户输入密码。

tls_keyform [ PEM | 发动机 ]

指定在以下情况下使用的私钥的类型建立 TLS 连接..这可以是“pem”或 “引擎”。当 TPM 模块正在使用，私钥已被使用用它创建。默认为“pem”，表示使用普通私钥文件。

tls_version版本

将 TLS 协议的最低版本配置为用于此侦听器。可能的值为 tlsv1.3、tlsv1.2 和 tlsv1.1。如果未设置，默认允许 TLS v1.3 和 v1.2。

在 Mosquitto 版本 1.6.x 及更早版本中，这选项设置唯一的 TLS 协议版本是允许的，而不是最低限度。

use_identity_as_username [ 真 | 假 ]

如果为 true，则可以设置为 true 以使用 CN 值从客户端证书作为用户名。如果这个为真，该选项不会用于此侦听器。require_certificateuse_identity_as_usernamepassword_file

如果两者兼而有之，则优先设置为 true。use_subject_as_username

参见use_subject_as_username

use_subject_as_username [ 真 | 假 ]

如果为 true，则可以设置为 true 以使用完整的主题值从客户端证书作为用户名。如果这个为真，该选项不会用于此侦听器。require_certificateuse_subject_as_usernamepassword_file

主题将以类似的形式生成自。CN=test client,OU=Production,O=Server,L=Nottingham,ST=Nottinghamshire,C=GB

参见use_identity_as_username

基于预共享密钥的 SSL/TLS 支持

以下选项可供所有侦听器配置基于预共享密钥的 SSL 支持。参见 “基于证书的 SSL/TLS 支持”。

密码 密码：列表

使用 PSK 时，使用的加密密码将从可用 PSK 密码列表中选择。如果要控制哪些密码可用，使用此选项。可用密码列表可以使用“OpenSSL密码”命令进行访问，并且应以与输出相同的格式提供的命令。

psk_hint提示

该选项启用对此侦听器的预共享密钥支持，以及充当此侦听器的标识符。提示发送给客户，并可在当地用于帮助认证。提示是一个自由格式的字符串，它本身没有太多意义，所以请随意要有创意。psk_hint

如果提供了此选项，请参阅定义预共享要使用的密钥或创建安全插件以处理它们。psk_file

tls_version版本

将 TLS 协议的最低版本配置为用于此侦听器。可能的值为 tlsv1.3、tlsv1.2 和 tlsv1.1。如果未设置，允许 TLS v1.3 和 v1.2 的默认值。

在 Mosquitto 版本 1.6.x 及更早版本中，这选项设置唯一的 TLS 协议版本是允许的，而不是最低限度。

use_identity_as_username [ 真 | 假 ]

设置为将客户端发送的 PSK 标识用作它的用户名。用户名将被检查为正常，所以或身份验证检查的另一种方法必须是使用。不会使用密码。use_identity_as_usernamepassword_file

配置网桥

可以配置多个网桥（与其他代理的连接）使用以下变量。

网桥目前无法在重新加载信号时重新加载。

地址地址[:p ort] [地址[:p ort]]，
地址地址[:p ort] [地址[:p ort]]

指定地址和端口（可选）要连接的网桥。必须为每个提供桥接连接。如果未指定端口，则使用默认值 1883。

如果使用 IPv6 地址，则端口不是自选。

可以在地址配置。有关桥梁行为的更多详细信息，请参阅该选项具有多个地址。round_robin

bridge_attempt_unsubscribe [ 真 | 假 ]

如果桥的主题具有“外”方向，则默认行为是将取消订阅请求发送到该主题的远程代理。这意味着将主题方向从“入”更改为“出”不会继续接收传入的消息。发送这些取消订阅请求并不总是可取的，设置为 false 将禁用发送取消订阅请求。默认值为 true。bridge_attempt_unsubscribe

bridge_bind_address IP 地址

如果您需要让网桥通过特定连接网络接口，使用 bridge_bind_address 告诉桥接套接字应绑定到哪个本地 IP 地址，例如.bridge_bind_address 192.168.1.10

bridge_max_packet_size值

如果您希望限制发送到远程网桥，请使用此选项。这将设置最大值总消息的字节数，包括标头和有效载荷。请注意，MQTT v5 代理可能会提供其拥有最大数据包大小属性。在这种情况下，将使用两个限制中较小的一个。设置为 0 表示 “无限”。

bridge_outgoing_retain [ 真 | 假 ]

某些 MQTT 代理不允许保留消息。MQTT v5 给出经纪人告诉客户他们不支持的机制保留消息，但这对于 MQTT v3.1.1 或 v3.1 是不可能的。如果您需要桥接到不支持的 v3.1.1 或 v3.1 代理保留的邮件中，将选项设置为 false。这将删除保留到该桥的所有传出消息的位，无论任何其他设置。默认值为 true。bridge_outgoing_retain

bridge_protocol_version版本

设置要用于的 MQTT 协议的版本这座桥。可以是 mqttv50、mqttv311 或 mqttv31 之一。默认为 mqttv311。

清洁会话 [ 真 | 假 ]

为此网桥设置清理会话选项。设置为 false（默认值），意味着远程代理上的所有订阅都是保持以防网络连接断开。如果已设置为 true，所有订阅并且远程代理上的消息将被清除，如果连接断开。请注意，设置为 true 可能会导致每次发送的保留消息数网桥重新连接。

如果您使用的是设置为 false（默认值）的网桥，则您可能会从传入的主题中获得意外行为如果您更改要订阅的主题。这是因为远程代理保留订阅老话题。如果您遇到此问题，请连接您的设置为 true 的网桥，然后重新连接清理会话设置为 false 为正常。cleansessioncleansession

local_cleansession [ 真 | 假]

常规涵盖两个本地订阅和远程订阅。local_cleansession允许拆分它。设置 false 将意味着本地连接将保留订阅，独立于远程连接。cleansession

默认为 bridge.cleansession 的值，除非明确指定。

连接名称

此变量标志着新桥的开始连接。它也被用来给桥起一个名字用作远程上的客户端 ID 代理。

keepalive_interval 秒

设置网桥之后的秒数如果没有发生其他流量，应发送 ping。默认值为 60。最小值为 5 秒是允许的。

idle_timeout 秒

使用延迟启动设置网桥的时间量类型必须处于空闲状态，然后才能停止。违约到 60 秒。

local_clientid编号

设置要在本地代理上使用的客户机标识。如果不是定义，则默认为。如果你是将经纪人与自身联系起来，重要的是 local_clientid和remote_clientid不匹配。local.<remote_clientid>

local_password密码

配置连接时使用的密码这是通往当地经纪人的桥梁。这可能很重要使用身份验证和 ACL 时。

local_username用户名

配置连接时要使用的用户名这是通往当地经纪人的桥梁。这可能很重要使用身份验证和 ACL 时。

通知 [ 真 | 假 ]

如果设置为 true，则发布向本地和远程代理发送通知消息提供有关桥梁状态的信息连接。保留的邮件将发布到主题 $SYS/代理/连接/<remote_clientid>/状态除非另有设置与 S.如果消息为 1 表示连接处于活动状态，如果连接失败。默认值为 true。notification_topic

这将使用最后遗嘱和遗嘱（LWT）功能。

notifications_local_only [ 真 | 假 ]

如果设置为 true，则仅发布通知消息给本地经纪人有关网桥连接状态的信息。默认为 false。

notification_topic主题

选择通知的主题为此桥发布。如果未设置，消息将发送有关该主题的信息 $SYS/broker/connection/<remote_clientid>/state。

remote_clientid标识

设置此网桥连接的客户端 ID。如果不是定义，默认为“name.hostname”，其中名称是连接名称，主机名是主机名这台电脑。

这替换了旧的“clientid”选项以避免与桥的本地/偏远两侧混淆。 “客户端 ID”暂时仍然有效。

remote_password值

配置网桥的密码。这用于连接到代理时的身份验证目的支持 MQTT v3.1 及更高版本，需要用户名和/或密码进行连接。此选项仅有效如果还提供remote_username。

这取代了旧的“密码”选项以避免与桥的本地/偏远两侧混淆。 “密码”暂时有效。

remote_username名称

配置网桥的用户名。这用于连接到代理时的身份验证目的支持 MQTT v3.1 及更高版本，需要用户名和/或密码进行连接。另请参阅选项。remote_password

这替换了旧的“用户名”选项以避免与桥的本地/偏远两侧混淆。 “用户名”暂时有效。

restart_timeout 基帽，
restart_timeout恒定

使用自动设置网桥的时间量启动类型将等待，直到尝试重新连接。

此选项可以配置为使用恒定延迟时间（以秒为单位），或使用基于 “去相关抖动”，增加了一定程度的随机到重新启动发生的时间，从基础并增加到上限。设置常量超时 20 秒：

<span style="color:#4a4a4a"><span style="background-color:#ffffff"><span style="background-color:whitesmoke"><span style="color:#4a4a4a">restart_timeout 20</span></span></span></span>

设置回退，基本（起始值）为 10 秒，上限（上限限制）为 60 秒：

<span style="color:#4a4a4a"><span style="background-color:#ffffff"><span style="background-color:whitesmoke"><span style="color:#4a4a4a">restart_timeout 10 30</span></span></span></span>

默认为抖动，以 5 秒和上限为基数 30秒。

round_robin [ 真 | 假 ]

如果网桥在地址/地址配置，round_robin选项定义桥在桥接连接。如果round_robin为 false，则默认值为 false，然后第一个地址被视为主网桥连接。如果连接失败，另一个将依次尝试辅助地址。而连接到辅助网桥，网桥将定期尝试重新连接到主网桥直到成功。

如果round_robin属实，然后，所有地址都被视为相等。如果连接失败，将尝试下一个地址，如果成功将保持连接，直到失败。

start_type [ 自动 | 懒惰 | 一次 ]

设置网桥的起始类型。这将控制如何桥开始，可以是以下三种类型之一：自动、惰性和一次。注意 RSMB提供了第四种启动类型“手动”，该目前不受 Mosquitto 支持。

自动是默认值启动类型，表示网桥连接将是当经纪人启动时自动启动，也在短暂延迟（30 秒）后重新启动，如果连接失败。

使用延迟启动类型的网桥将在以下情况下自动启动排队的邮件数超过用选项。这将是在参数设置的时间后自动停止。使用此开始如果希望连接仅在以下情况下处于活动状态，请键入这是需要的。thresholdidle_timeout

使用一次启动类型的网桥将在以下情况下自动启动代理启动，但如果连接失败。

阈值计数

设置需要排队的邮件数要重新启动的具有延迟启动类型的网桥。默认为 10 条消息。

主题模式 [[ 输出 | 输入 | 两者] QoS 级别] 本地前缀远程前缀]

定义要在两者之间共享的主题模式经纪人。任何与模式匹配的主题（可能包括通配符）是共享的。第二个参数定义消息的共享方向 in，因此可以从远程导入消息代理使用输入，导出使用或共享消息发送到远程代理的消息双向。如果未定义此参数，则使用默认值 OUT。这 QoS 级别定义使用的发布/订阅 QoS 级别对于本主题，默认为 0。

本地前缀和远程前缀选项允许发布到和接收时要重新映射的主题来自远程经纪人。这允许从要插入到主题树中的本地代理远程代理在适当的位置。

对于传入的主题，桥将在带有远程前缀的模式并订阅生成的有关远程代理的主题。当匹配时收到传入消息，远程前缀将是从主题中删除，然后从本地前缀中删除添加。

对于传出主题，桥将在带有本地前缀的模式并订阅本地经纪人的结果主题。当传出时消息已处理，本地前缀将被删除然后添加远程前缀。

使用主题映射时，空前缀可以是使用位置标记 “” 定义。使用空标记因为主题本身也是有效的。下表定义空或值的组合是什么有效。和显示结果将在本地和远程端使用的主题的桥。例如，对于表的第一行，如果发布到本地代理，则远程代理将收到一条消息关于这个话题.Full Local TopicFull Remote TopicL/topicR/topic

模式	本地前缀	远程前缀	有效性	完整的本地主题	完全远程主题
模式	L/	R/	有效	L/模式	R/模式
模式	L/	""	有效	L/模式	模式
模式	""	R/	有效	模式	R/模式
模式	""	""	有效（无重新映射）	模式	模式
""	当地	远程	有效（将单个本地主题重新映射到远程）	当地	远程
""	当地	""	无效
""	""	远程	无效
""	""	""	无效

要重新映射整个主题树，请使用例如：

<span style="color:#4a4a4a"><span style="background-color:#ffffff"><span style="background-color:whitesmoke"><span style="color:#4a4a4a">topic # both 2 local/topic/ remote/topic/</span></span></span></span>

每个选项可以多次指定桥。

必须注意确保循环不是使用此选项创建。如果您正在经历高来自代理的 CPU 负载，您可能有一个循环，每个经纪人永远相互转发相同的消息。

另请参阅选项，如果您在以下情况下收到有关意外主题的消息使用传入主题。cleansession

示例网桥主题重新映射。

下面的配置将网桥连接到代理在。它订阅远程主题和将收到的消息重新发布到本地主题test.mosquitto.org$SYS/broker/clients/totaltest/mosquitto/org/clients/total

<span style="color:#4a4a4a"><span style="background-color:#ffffff"><span style="background-color:whitesmoke"><span style="color:#4a4a4a">connection test-mosquitto-org
address test.mosquitto.org
cleansession true
topic clients/total in 0 test/mosquitto/org/ $SYS/broker/
</span></span></span></span>

try_private [ 真 | 假 ]

如果try_private设置为 true，则网桥将尝试向远程代理指示它是桥不是普通的客户。如果成功，这将意味着环路检测将更有效，保留的消息将正确传播。并非所有经纪商都支持此功能，因此可能是如果您的网桥确实如此，则必须设置为 false 连接不正确。try_private

默认值为 true。