Version vom 20. Juni 2026, 11:57 Uhr

Stufe 1

Grundaufbau

[Bearbeiten]

Connectivity

ssh

Zugriff von einem internen Client

mqtt

ssh kit@mqtt.dkbi.com

sensor

ssh kit@sensor.dkbi.com

aktor

ssh kit@aktor.dkbi.com

http

sensor

https://sensor.dkbi.com

aktor

https://aktor.dkbi.com

Unverschlüsselt ohne Passwort

mqtt

Konfiguration kopieren

sudo cp /etc/mosquitto/conf.d/defaults.conf.ohne-password /etc/mosquitto/conf.d/defaults.conf

Konfigurationsdatei

cat /etc/mosquitto/conf.d/defaults.conf

# Öffnet den MQTT-Broker auf Port 1883 und bindet ihn an alle verfügbaren Netzwerkinterfaces.
listener 1883 0.0.0.0
# Erlaubt anonyme Verbindungen, d. h. ohne Benutzername und Passwort.
allow_anonymous true
# Aktiviert alle Log-Typen für eine detaillierte Protokollierung.
log_type all
# Zeigt Verbindungs- und Trennungsmeldungen von Clients im Log an.
connection_messages true

Restarten

sudo systemctl restart mosquitto.service

Checken

systemctl status mosquitto.service

Aktor

Der Aktor abonniert (subscribed) die Nachrichten und reagiert darauf.

mosquitto_sub -h mqtt.dkbi.com -t test

Sensor

Der Sensor sendet (published) die Nachrichten an das Topic.

mosquitto_pub -h mqtt.dkbi.com -t test -m "Hello World"
mosquitto_pub -h mqtt.dkbi.com -t test -m "2 Nachricht"

kali

Hier kann man auf Wireshark mitschneiden. Der Text ist Hexadezimal codiert.

Beispiel

536368616c7465206469652054757262696e656e20766f6d2041746f6d6b726166747765726b20617573

Die kann man mit Follow TCP Stream oder auf der Konsole decodieren.

echo -n "536368616c7465206469652054757262696e656e20766f6d2041746f6d6b726166747765726b20617573" | xxd -r -p

Schalte die Turbinen vom Atomkraftwerk aus

Node.js Umsetzung

Einführung in das Node.js-MQTT-Projekt

Dieses Projekt dient zur steuerbaren MQTT-basierten Hausautomation mit Node.js und Mosquitto als MQTT-Broker. Es ermöglicht das Schalten und Überwachen von Geräten wie Lichtquellen und Türschlössern über eine Web-Oberfläche.

Hauptbestandteile des Projekts

Mosquitto MQTT-Broker: Verwaltung der Nachrichten zwischen Sensoren und Aktoren. Zunächst ohne Authentifizierung, später mit Benutzer/Passwort und TLS.
Node.js-Backend mit Express.js: Verbindet sich als MQTT-Client zum Broker. Abonniert Status-Topics und aktualisiert den Gerätestatus. Bietet eine REST-API, um den Status abzufragen und Geräte zu steuern.
Web-Interface: Zeigt den aktuellen Gerätestatus in einer einfachen Oberfläche. Ermöglicht das Schalten der Geräte per Klick. Aktualisiert sich automatisch über API-Anfragen.

Schrittweise Absicherung

Das Projekt startet mit einer offenen MQTT-Verbindung, wird dann um Benutzer/Passwort ergänzt und am Ende mit TLS-Verschlüsselung abgesichert.

Node.js konkret

Sensor

Verzeichnis

/usr/local/control-switch

Wichtige Dateien

JavaScript Datei

server.js

HTML Datei

index.html

Die Umgebungsvariablen

.env

Service Unit

sudo systemctl restart control-switch.service

Zugriff

Siehe oben per https

Aktor

Verzeichnis

/usr/local/control

Wichtige Dateien

JavaScript Datei

server.js

HTML Datei

index.html

Die Umgebungsvariablen

.env

Service Unit

sudo systemctl restart control.service

Zugriff

Siehe oben per https

Anpassen von node.js

sensor

sudo cp /usr/local/control-switch/env.ohne-passwd /usr/local/control-switch/.env
cat /usr/local/control-switch/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=1883

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control-switch/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control-switch.service

aktor

sudo cp /usr/local/control/env.ohne-passwd /usr/local/control/.env
cat /usr/local/control/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=1883

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control.service

Stufe 2

Unverschlüsselt mit Passwort

mqtt

Benutzer anlegen

user: kit
pass: 123Start$
rm -f /etc/mosquitto/passwd
sudo mosquitto_passwd -c /etc/mosquitto/passwd kit
sudo chown mosquitto:mosquitto /etc/mosquitto/passwd
sudo chmod 600 /etc/mosquitto/passwd

Konfiguration kopieren

sudo cp /etc/mosquitto/conf.d/defaults.conf.mit-password /etc/mosquitto/conf.d/defaults.conf

Konfigurationsdatei

cat /etc/mosquitto/conf.d/defaults.conf

# Öffnet den MQTT-Broker auf Port 1883 und bindet ihn an alle verfügbaren Netzwerkinterfaces.
listener 1883 0.0.0.0
# Verbietet anonyme Verbindungen, Authentifizierung ist erforderlich.
allow_anonymous false
# Aktiviert alle Log-Typen für eine detaillierte Protokollierung.
log_type all
# Zeigt Verbindungs- und Trennungsmeldungen von Clients im Log an.
connection_messages true
# Gegen diese Datei wird authentifiziert.
password_file /etc/mosquitto/passwd

Restarten

sudo systemctl restart mosquitto.service

Checken

systemctl status mosquitto.service

Aktor

Der Aktor abonniert (subscribed) die Nachrichten und reagiert darauf.

mosquitto_sub -h mqtt.dkbi.com -u kit -P '123Start$' -t test

Sensor

Der Sensor sendet (published) die Nachrichten an das Topic.

mosquitto_pub -h mqtt.dkbi.com -u kit -P '123Start$' -t test -m "Hello World"
mosquitto_pub -h mqtt.dkbi.com -u kit -P '123Start$' -t test -m "2 Nachricht"

kali

Hier kann man auf Wireshark mitschneiden. Der Text ist weiterhin im Klartext (Hexadezimal codiert) sichtbar — das Passwort schützt den Zugang, nicht die Übertragung.

Schaut mal, was man sieht.

Anpassen von node.js

sensor

sudo cp /usr/local/control-switch/env.mit-passwd /usr/local/control-switch/.env
cat /usr/local/control-switch/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=1883
MQTT_USER=kit
MQTT_PASS=123Start$

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control-switch/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control-switch.service

aktor

sudo cp /usr/local/control/env.mit-passwd /usr/local/control/.env
cat /usr/local/control/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=1883
MQTT_USER=kit
MQTT_PASS=123Start$

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control.service

Stufe 3

Verschlüsselt mit Passwort

Zusätzlich zur Authentifizierung wird die Verbindung per TLS verschlüsselt. Auf dem Broker liegen das Server-Zertifikat (own.crt), der zugehörige private Schlüssel (own.key) und das Zertifikat der CA (kit-ca.crt). Die Clients prüfen den Broker gegen die CA.

mqtt

sudo cp /etc/mosquitto/conf.d/defaults.conf.verschlüsselt /etc/mosquitto/conf.d/defaults.conf

Konfigurationsdatei

cat /etc/mosquitto/conf.d/defaults.conf

# Öffnet den MQTT-Broker auf Port 8883 und bindet ihn an alle verfügbaren Netzwerkinterfaces.
listener 8883 0.0.0.0
# Verbietet anonyme Verbindungen, Authentifizierung ist erforderlich.
allow_anonymous false
# Aktiviert alle Log-Typen für eine detaillierte Protokollierung.
log_type all
# Zeigt Verbindungs- und Trennungsmeldungen von Clients im Log an.
connection_messages true
# Gegen diese Datei wird authentifiziert.
password_file /etc/mosquitto/passwd
# Server-Zertifikat
certfile /etc/mosquitto/conf.d/own.crt
# Privater Schlüssel
keyfile  /etc/mosquitto/conf.d/own.key
# Zertifikat der CA
cafile   /etc/mosquitto/conf.d/kit-ca.crt

Rechte setzen, damit der Broker Key und Zertifikate lesen darf

sudo chown mosquitto:mosquitto /etc/mosquitto/conf.d/own.key /etc/mosquitto/conf.d/own.crt /etc/mosquitto/conf.d/kit-ca.crt
sudo chmod 600 /etc/mosquitto/conf.d/own.key
sudo chmod 644 /etc/mosquitto/conf.d/own.crt /etc/mosquitto/conf.d/kit-ca.crt

Restarten

sudo systemctl restart mosquitto.service

Checken

systemctl status mosquitto.service

Aktor

Der Aktor abonniert (subscribed) die Nachrichten und reagiert darauf.

mosquitto_sub -h mqtt.dkbi.com -p 8883 --cafile /usr/local/control/kit-ca.crt -u kit -P '123Start$' -t test

Sensor

Der Sensor sendet (published) die Nachrichten an das Topic.

mosquitto_pub -h mqtt.dkbi.com -p 8883 --cafile /usr/local/control-switch/kit-ca.crt -u kit -P '123Start$' -t test -m "Hello World"
mosquitto_pub -h mqtt.dkbi.com -p 8883 --cafile /usr/local/control-switch/kit-ca.crt -u kit -P '123Start$' -t test -m "2 Nachricht"

kali

Hier kann man auf Wireshark mitschneiden. Der Verkehr ist jetzt TLS-verschlüsselt — der Klartext aus Stufe 1 und 2 ist nicht mehr lesbar.

Schaut mal, was man (nicht mehr) sieht.

Anpassen von node.js

sensor

sudo cp /usr/local/control-switch/env.mit-tls /usr/local/control-switch/.env
cat /usr/local/control-switch/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=8883
MQTT_USER=kit
MQTT_PASS=123Start$
MQTT_TLS=true
MQTT_CA=/usr/local/control-switch/kit-ca.crt

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control-switch/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control-switch.service

aktor

sudo cp /usr/local/control/env.mit-tls /usr/local/control/.env
cat /usr/local/control/.env

MQTT_HOST=mqtt.dkbi.com
MQTT_PORT=8883
MQTT_USER=kit
MQTT_PASS=123Start$
MQTT_TLS=true
MQTT_CA=/usr/local/control/kit-ca.crt

Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)

cd /usr/local/control/
nodejs server.js

Läuft es, als Service starten

sudo systemctl restart control.service

@@ Zeile 19: / Zeile 19: @@
 ===mqtt===
 ;Konfiguration kopieren
-*sudo  cp /etc/mosquitto/conf.d/defaults.conf.ohne-password /etc/mosquitto/conf.d/defaults.conf
+*sudo cp /etc/mosquitto/conf.d/defaults.conf.ohne-password /etc/mosquitto/conf.d/defaults.conf
 ;Konfigurationsdatei
 *cat /etc/mosquitto/conf.d/defaults.conf
@@ Zeile 98: / Zeile 98: @@
   MQTT_HOST=mqtt.dkbi.com
   MQTT_PORT=1883
-;Zum Testen
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
-*cd  /usr/local/control-switch/
+*cd /usr/local/control-switch/
-*nodjs server.js
+*nodejs server.js
-;Der Service
+;Läuft es, als Service starten
 *sudo systemctl restart control-switch.service
 ;aktor
@@ Zeile 108: / Zeile 108: @@
   MQTT_HOST=mqtt.dkbi.com
   MQTT_PORT=1883
-;Zum Testen
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
-*cd  /usr/local/control/
+*cd /usr/local/control/
-*nodjs server.js
+*nodejs server.js
-;Der Service
+;Läuft es, als Service starten
 *sudo systemctl restart control.service
@@ Zeile 122: / Zeile 122: @@
 *rm -f /etc/mosquitto/passwd
 *sudo mosquitto_passwd -c /etc/mosquitto/passwd kit
-*chown mosquitto:mosquitto /etc/mosquitto/passwd
+*sudo chown mosquitto:mosquitto /etc/mosquitto/passwd
+*sudo chmod 600 /etc/mosquitto/passwd
 ;Konfiguration kopieren
 *sudo cp /etc/mosquitto/conf.d/defaults.conf.mit-password /etc/mosquitto/conf.d/defaults.conf
@@ Zeile 146: / Zeile 147: @@
 ==Aktor==
 Der Aktor '''abonniert (subscribed)''' die Nachrichten und reagiert darauf.
-*mosquitto_sub -h mqtt.dkbi.com -u kit -P 123Start$ -t test
+*mosquitto_sub -h mqtt.dkbi.com -u kit -P '123Start$' -t test
 ==Sensor==
 Der Sensor '''sendet (published)''' die Nachrichten an das Topic.
-*mosquitto_pub -h mqtt.dkbi.com -u kit -P 123Start$ -t test -m "Hello World"
+*mosquitto_pub -h mqtt.dkbi.com -u kit -P '123Start$' -t test -m "Hello World"
-*mosquitto_pub -h mqtt.dkbi.com -u kit -P 123Start$ -t test -m "2 Nachricht"
+*mosquitto_pub -h mqtt.dkbi.com -u kit -P '123Start$' -t test -m "2 Nachricht"
 ==kali==
 Hier kann man auf Wireshark mitschneiden. Der Text ist weiterhin im Klartext (Hexadezimal codiert) sichtbar — das Passwort schützt den Zugang, nicht die Übertragung.
@@ Zeile 163: / Zeile 164: @@
   MQTT_USER=kit
   MQTT_PASS=123Start$
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
+*cd /usr/local/control-switch/
+*nodejs server.js
+;Läuft es, als Service starten
 *sudo systemctl restart control-switch.service
 ;aktor
@@ Zeile 171: / Zeile 176: @@
   MQTT_USER=kit
   MQTT_PASS=123Start$
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
+*cd /usr/local/control/
+*nodejs server.js
+;Läuft es, als Service starten
 *sudo systemctl restart control.service
@@ Zeile 179: / Zeile 188: @@
 *sudo cp /etc/mosquitto/conf.d/defaults.conf.verschlüsselt /etc/mosquitto/conf.d/defaults.conf
 ;Konfigurationsdatei
-*cat  /etc/mosquitto/conf.d/defaults.conf
+*cat /etc/mosquitto/conf.d/defaults.conf
 <pre>
 # Öffnet den MQTT-Broker auf Port 8883 und bindet ihn an alle verfügbaren Netzwerkinterfaces.
@@ Zeile 227: / Zeile 236: @@
   MQTT_TLS=true
   MQTT_CA=/usr/local/control-switch/kit-ca.crt
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
+*cd /usr/local/control-switch/
+*nodejs server.js
+;Läuft es, als Service starten
 *sudo systemctl restart control-switch.service
 ;aktor
@@ Zeile 237: / Zeile 250: @@
   MQTT_TLS=true
   MQTT_CA=/usr/local/control/kit-ca.crt
+;Zum Testen im Vordergrund (zeigt Verbindungs- und Fehlermeldungen)
+*cd /usr/local/control/
+*nodejs server.js
+;Läuft es, als Service starten
 *sudo systemctl restart control.service
-=Stufe 4=
-Verschlüsselt mit 2FA (Zertifikat + Passwort)=
-Wir haben eine ca.crt der Auth, ein Server-Zertifikat mqtt.dkbi.int.crt mit mqtt.dkbi.int.key
-und zwei Client-Zertifikate: sensor.crt/sensor.key und aktor.crt/aktor.key
-==mqtt==
-;Sensor Benutzer anlegen
-*user: sensor
-*pass: 123Start$
-*mosquitto_passwd -c /etc/mosquitto/passwd sensor
-;Aktor Benutzer anlegen
-*user: aktor
-*pass: 123Start$
-;Wichtig hier kein -c das sonst die Datei überschrieben wird.
-*mosquitto_passwd  /etc/mosquitto/passwd aktor
-;Kontrolle
-*cat /etc/mosquitto/passwd
-sensor:$7$101$uQDyTxbLRXMl6fUq$dYZlMOukSXrp27dpHUelvz/1SWySqUyCy4ACVtXJdlIrEvdRYO6CXUmEbNywAviSudkKKUmwlR9SaJ4tnXAqHg==
-aktor:$7$101$TlY7EgdUWEiSapZO$1n/r3egFo8CaXFBUv9FtF/SklXR6aGqO3E2qR0G1k7shfLOIYHlcYz9Eg1lfpNLNJ/KBQvKfQPfq9GgOECWjRg==
-;Konfiguration kopieren
-*cp /etc/mosquitto/conf.d/defaults.conf.verschlüsselt.2fa /etc/mosquitto/conf.d/defaults.conf
-*cat /etc/mosquitto/conf.d/defaults.conf
-<pre>
-# Öffnet den MQTT-Broker auf Port 8883 und bindet ihn an alle verfügbaren Netzwerkinterfaces.
-listener 8883 0.0.0.0
-# Erlaubt anonyme Verbindungen, d. h. ohne Benutzername und Passwort.
-allow_anonymous false
-# Aktiviert alle Log-Typen für eine detaillierte Protokollierung.
-log_type all
-# Zeigt Verbindungs- und Trennungsmeldungen von Clients im Log an.
-connection_messages true
-#Hier gegen wird authentifiziert.
-password_file /etc/mosquitto/passwd
-# Zertifikat
-certfile /etc/mosquitto/conf.d/own.crt
-#PrivKey
-keyfile  /etc/mosquitto/conf.d/own.key
-#Zertifikat der CA
-cafile  /etc/mosquitto/conf.d/kit-ca.crt
-# Client-Zertifikate erforderlich
-require_certificate true
-use_identity_as_username true
-</pre>
-;Restarten
-*systemctl restart mosquitto.service
-;Checken
-*systemctl status mosquitto.service
-==Aktor==
-Der Aktor '''abonniert (subscribed)''' die Nachrichten und reagiert darauf.
-*mosquitto_sub -h mqtt.dkbi.com -p 8883 --cafile /usr/local/control/kit-ca.crt --cert /usr/local/control/aktor.crt --key /usr/local/control/aktor.key -u aktor -P 123Start$ -t test
-==Sensor==
-Der Sensor '''sendet (published)''' die Nachrichten an das Topic.
-*mosquitto_pub -h mqtt.dkbi.com -p 8883 --cafile /usr/local/control-switch/kit-ca.crt --cert /usr/local/control-switch/sensor.crt --key /usr/local/control-switch/sensor.key -u sensor -P 123Start$ -t test -m "Zertifikat + Passwort"
-==kali==
-Hier kann man auf Wireshark mitschneiden. Der Text ist Hexadezimal codiert.
-;Schaut mal was man sieht.

MQTT Projekt Umsetzung: Unterschied zwischen den Versionen

Version vom 20. Juni 2026, 11:57 Uhr

Stufe 1

Grundaufbau

Connectivity

ssh

http

Unverschlüsselt ohne Passwort

mqtt

Aktor

Sensor

kali

Node.js Umsetzung

Einführung in das Node.js-MQTT-Projekt

Hauptbestandteile des Projekts

Schrittweise Absicherung

Node.js konkret

Sensor

Wichtige Dateien

Zugriff

Aktor

Wichtige Dateien

Zugriff

Anpassen von node.js

Stufe 2

Unverschlüsselt mit Passwort

mqtt

Aktor

Sensor

kali

Anpassen von node.js

Stufe 3

Verschlüsselt mit Passwort

mqtt

Aktor

Sensor

kali

Anpassen von node.js

Navigationsmenü

Suche