在Ubuntu系统中配置Kafka权限,需从操作系统级权限、Kafka服务配置、网络安全控制及访问授权四大维度入手,确保Kafka进程安全运行且数据访问可控。
操作系统级权限是Kafka安全的基础,需通过用户管理、目录权限和配置文件权限实现隔离与保护。
避免使用root用户运行Kafka,降低系统风险。执行以下命令创建kafka用户及同名组,并设置家目录:
sudo groupadd kafka # 创建kafka组
sudo useradd -m -r -g kafka kafka # 创建kafka用户(-m创建家目录,-r为系统用户)
若已创建用户,可通过sudo usermod -aG kafka kafka将现有用户加入kafka组。
将Kafka安装目录(如/usr/local/kafka)、数据目录(如/var/lib/kafka)、日志目录(如/var/log/kafka)的所有权转移至kafka用户与组:
sudo chown -R kafka:kafka /usr/local/kafka # 安装目录(若自定义路径)
sudo chown -R kafka:kafka /var/lib/kafka # 数据目录(默认路径)
sudo chown -R kafka:kafka /var/log/kafka # 日志目录(默认路径)
注意:若数据或日志目录不存在,需提前创建(如sudo mkdir -p /var/lib/kafka)。
750(所有者可读/写/执行,组可读/执行,其他用户无权限),防止未授权访问:sudo chmod -R 750 /usr/local/kafka
sudo chmod -R 750 /var/lib/kafka
sudo chmod -R 750 /var/log/kafka
server.properties等核心配置文件需限制为root:kafka(所有者root可读/写,组kafka可读),避免敏感信息泄露:sudo chown root:kafka /etc/kafka/server.properties # 假设配置文件在/etc/kafka下
sudo chmod 640 /etc/kafka/server.properties
通过调整Kafka自身配置,强化进程运行时的权限控制与安全防护。
编辑Kafka的systemd单元文件(通常位于/etc/systemd/system/kafka.service),指定以kafka用户身份运行:
[Service]
User=kafka
Group=kafka
ExecStart=/usr/local/kafka/bin/kafka-server-start.sh /usr/local/kafka/config/server.properties
ExecStop=/usr/local/kafka/bin/kafka-server-stop.sh
Restart=on-failure
修改后刷新systemd配置并重启Kafka:
sudo systemctl daemon-reload
sudo systemctl restart kafka
在server.properties中,设置listeners(监听接口)和advertised.listeners(客户端连接的地址),确保仅允许授权主机访问:
listeners=PLAINTEXT://0.0.0.0:9092 # 监听所有接口(生产环境建议指定具体IP)
advertised.listeners=PLAINTEXT://your_server_ip:9092 # 替换为服务器实际IP
若需限制为本地访问,可将listeners改为PLAINTEXT://localhost:9092。
通过网络层限制,减少Kafka暴露在公网的风险。
使用ufw(Ubuntu默认防火墙)开放Kafka默认端口(9092),并拒绝其他未授权端口:
sudo ufw allow 9092/tcp # 放行Kafka端口
sudo ufw enable # 启用防火墙
sudo ufw status # 查看防火墙状态(确认9092端口已放行)
若使用iptables,可执行:
sudo iptables -A INPUT -p tcp --dport 9092 -j ACCEPT
sudo service iptables save
若无需Kafka对外提供服务,可将listeners设置为PLAINTEXT://localhost:9092,仅允许本地进程连接,彻底避免远程攻击。
通过SASL认证、SSL加密和ACL(访问控制列表),实现细粒度的访问控制。
编辑server.properties,开启SASL认证(以PLAIN机制为例):
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
listeners=SASL_PLAINTEXT://:9092
创建JAAS配置文件(如/etc/kafka/jaas.conf),定义Kafka broker的认证信息:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret"
user_admin="admin-secret" # admin用户的密码
user_user1="user1-secret"; # user1用户的密码
};
修改server.properties,指定JAAS文件路径:
sasl.jaas.config=/etc/kafka/jaas.conf
设置JAAS文件权限(仅kafka用户可读):
sudo chown kafka:kafka /etc/kafka/jaas.conf
sudo chmod 600 /etc/kafka/jaas.conf
生成自签名证书(用于测试环境,生产环境建议使用CA签发):
# 生成密钥库(keystore)
keytool -genkey -alias kafka -keyalg RSA -keystore kafka.server.keystore.jks -validity 365 -storepass kafka-pass -keypass kafka-key
# 导出证书
keytool -export -alias kafka -file kafka.server.crt -keystore kafka.server.keystore.jks -storepass kafka-pass
# 创建信任库(truststore)并导入证书
keytool -import -alias kafka -file kafka.server.crt -keystore kafka.server.truststore.jks -storepass kafka-pass -noprompt
将证书与密钥库复制到Kafka目录(如/etc/kafka/),并设置权限:
sudo chown kafka:kafka /etc/kafka/kafka.server.*
sudo chmod 600 /etc/kafka/kafka.server.*
修改server.properties,启用SSL:
listeners=SSL://:9093
ssl.keystore.location=/etc/kafka/kafka.server.keystore.jks
ssl.keystore.password=kafka-pass
ssl.key.password=kafka-key
ssl.truststore.location=/etc/kafka/kafka.server.truststore.jks
ssl.truststore.password=kafka-pass
security.inter.broker.protocol=SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
通过ACL限制用户对Kafka资源(如主题、分区)的访问权限。首先创建管理员用户(需提前在JAAS文件中定义):
kafka-configs.sh --zookeeper localhost:2181 --add-principal --principal User:admin --ops Create
为用户分配权限(如允许user1读取test-topic):
kafka-configs.sh --zookeeper localhost:2181 --alter --add-acl --principal User:user1 --operation Read --topic test-topic
查看ACL列表:
kafka-acls.sh --zookeeper localhost:2181 --list --topic test-topic
注意:生产环境建议开启authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer(默认开启),并设置allow.everyone.if.no.acl.found=false(无ACL时拒绝访问)。
通过以上步骤,可全面覆盖Ubuntu下Kafka的权限设置需求,兼顾系统安全与数据保护。实际生产环境中,需根据业务场景调整配置(如使用CA证书、细化ACL规则)。