mosquitto absichern & Standardbefehle

erstmal für alle die mosquitto nicht kennen das ist es : mosquitto.org

erstmal installieren wir alles was wir benötigen
sudo apt install mosquitto mosquitto-clients
nach der Installation aus den Debian Paketen liegt ein funktionierendes mosquitto auf der Platte nur ist es nicht sicher konfiguriert. Um es noch ein bisschen mehr abzusichern sollte man an den Configfiles etwas schrauben.

Hier ist meine mosquitto.conf diese liegt unter /etc/mosquitto/
pid_file /var/run/mosquitto.pid
persistence true
persistence_location /var/lib/mosquitto/
persistent_client_expiration 7d
connection_messages true
log_dest syslog
log_timestamp false
log_type error
log_type warning
log_type notice
log_type information
port 1883
max_connections -1
allow_anonymous false
use_identity_as_username false
password_file /etc/mosquitto/users
acl_file /etc/mosquitto/roles
include_dir /etc/mosquitto/conf.d

Als erstes legen wir einen Benutzer für mosquitto an.
touch /etc/mosquitto/users ; mosquitto_passwd /etc/mosquitto/users BENUTZERNAME

Jetzt brauchen wir die Rechte der User
touch /etc/mosquitto/roles ; vi /etc/mosquitto/roles

Hier ein Vorschlag für die roles, der Benutzer monitor hat alle rechte während der Benutzer clmon nur schreiben darf.
user monitor
topic write /mqtt/#
topic read /mqtt/#

user clmon
topic write /mqtt/#


Zum testen der konfig bieten sich die beiden tools mosquitto_sub und mosquitto_pub an.

Subscribe
mosquitto_sub -u USERNAME -P PASSWORD -t "/mqtt/#"
Publish
mosquitto_pub -h localhost -u USERNAME -P PASSWORD -t "/mqtt/test/" -m "TESTNACHRICHT"


Quelle : Mosquitto Dokumentation

InfluxDB absichern & Standardbefehle

erstmal was ist Influx db eigentlich : Influxdb

Um eine InfluxDB absichern zu können muss als erstes ein Benutzer mit Admin Rechten angelegt werden, BEVOR man Auth aktiviert.

Anlegen eines Admin Users :
CREATE USER admin WITH PASSWORD 'SECUREPASSWORD' WITH ALL PRIVILEGES
Überprüfen / Anzeigen der User geht mit dem Befehl :
SHOW USERS
bzw für die Rechte
SHOW GRANTS FOR admin

Jetzt muss die Authentifizierung aktiviert werden. Dazu muss die Konfiguration unter /etc/influx/influx.conf angepasst werden.
Hier mal der entscheidende Block (Ohne Kommentare)
[http]
   enabled = true
   bind-address = ":8086"
   auth-enabled = true
   access-log-path = "/var/log/influxdb/access.log"
   write-tracing = false
   pprof-enabled = false
   https-enabled = false
   https-certificate = "/etc/ssl/influxdb.pem"

Ab jetzt könnt ihr euch mit dem folgenden Befehl verbinden
influx -username admin -password SECUREPASSWORD -database DATABASENAME
was auch funktioniert ist mit dem Befehl
influx
die cli starten und dann mit dem Befehl
auth
die Authentifizierung einleiten.


Weitere Standardbefehle

InfluxDB Datenbanken anzeigen :
SHOW DATABASES
InfluxDB Datenbank anlegen :
CREATE DATABASE "DATABASENAME"
InfluxDB User anlegen :
CREATE USER dev WITH PASSWORD 'SECUREPASSWORD'
InfluxDB Rechte vergeben auf Datenbank :
GRANT (READ,WRITE,ALL) ON DATABASENAME TO dev

Quelle : InfluxDB 1.5 documentation


“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)