在Debian上设置Kafka权限管理,可按以下步骤操作:
创建专用用户和组
sudo groupadd kafka
sudo useradd -g kafka kafka
设置文件系统权限
确保数据、日志、配置目录归属正确,权限设为750:
sudo chown -R kafka:kafka /var/lib/kafka /var/log/kafka /etc/kafka
sudo chmod -R 750 /var/lib/kafka /var/log/kafka /etc/kafka
配置Kafka以非root用户运行
编辑/etc/systemd/system/kafka.service,指定用户和组:
[Service]
User=kafka
Group=kafka
ExecStart=/usr/bin/kafka-server-start.sh /etc/kafka/server.properties
重新加载并启动服务:
sudo systemctl daemon-reload
sudo systemctl start kafka
sudo systemctl enable kafka
配置SELinux/AppArmor(可选)
sudo semanage fcontext -a -t kafka_var_lib_t "/var/lib/kafka(/.*)?"
sudo restorecon -Rv /var/lib/kafka
/etc/apparmor.d/usr.sbin.kafka,允许访问必要路径。启用Kafka ACLs(访问控制)
在server.properties中启用授权:
authorization.enable=true
使用kafka-acls.sh工具添加用户权限,例如:
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow --user alice --operation Read --topic my-topic
验证权限
检查服务状态及权限是否生效:
sudo systemctl status kafka
kafka-acls.sh --list --user alice
注意:若需客户端认证,可配置SASL/SSL(需在broker和客户端添加凭据配置)。