Linux Kafka配置怎样保证安全性

Linux上保障Kafka安全性的实用清单

一 安全目标与总体架构

• 在传输层启用加密（SSL/TLS），在身份层启用认证（SASL/Kerberos 或 SSL 客户端证书），在授权层启用ACL 细粒度权限，在主机与网络层落实最小权限与隔离，并配套审计与监控。
• 推荐生产组合：SASL/SCRAM + TLS 或 mTLS（双向 TLS）；如企业已有 Kerberos，可采用 SASL/GSSAPI（Kerberos）。同时限制外网直连，仅暴露内网或专线可达的端口，并使用专用系统用户运行 Kafka 进程。

二 传输加密与认证配置

• 生成密钥与证书（示例为自签名 CA + 服务器/客户端证书，生产建议使用企业 CA）
  • 生成服务器与客户端密钥库（JKS）
    • keytool -genkey -alias kafka-server -keystore server.keystore.jks -validity 365 -keyalg RSA
    • keytool -genkey -alias kafka-client -keystore client.keystore.jks -validity 365 -keyalg RSA
  • 创建 CA 并签发证书
    • openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
    • keytool -keystore server.keystore.jks -alias kafka-server -certreq -file server.csr
    • keytool -keystore client.keystore.jks -alias kafka-client -certreq -file client.csr
    • openssl x509 -req -CA ca-cert -CAkey ca-key -in server.csr -out server-signed.crt -days 365
    • openssl x509 -req -CA ca-cert -CAkey ca-key -in client.csr -out client-signed.crt -days 365
  • 导入 CA 与签发的证书到密钥库/信任库
    • keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
    • keytool -keystore server.keystore.jks -alias kafka-server -import -file server-signed.crt
    • keytool -keystore client.keystore.jks -alias CARoot -import -file ca-cert
    • keytool -keystore client.keystore.jks -alias kafka-client -import -file client-signed.crt
    • keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
    • keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert
• Broker 启用 TLS（server.properties）
  • listeners=SSL://:9093
  • ssl.keystore.location=/path/server.keystore.jks
  • ssl.keystore.password=…
  • ssl.key.password=…
  • ssl.truststore.location=/path/server.truststore.jks
  • ssl.truststore.password=…
  • ssl.client.auth=required（开启双向 TLS）
  • ssl.enabled.protocols=TLSv1.2（或更高）
• 客户端连接示例
  • security.protocol=SSL
  • ssl.truststore.location=/path/client.truststore.jks
  • ssl.truststore.password=…
  • ssl.keystore.location=/path/client.keystore.jks（双向 TLS 时）
  • ssl.keystore.password=…
  • ssl.key.password=…
• 说明
  • 若仅做单向 TLS，可不配置客户端密钥库；生产建议开启双向 TLS并限制可用协议/套件。

三 身份认证与授权

• SASL/SCRAM 示例（无需证书管理，支持动态增删用户）
  • 启用 SASL/SCRAM（server.properties）
    • listeners=SASL_SSL://:9093
    • security.inter.broker.protocol=SASL_SSL
    • sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
    • sasl.enabled.mechanisms=SCRAM-SHA-256
    • 通过 JAAS 指定 Broker 凭据（KafkaServer { org.apache.kafka.common.security.scram.ScramLoginModule … } ）
  • 创建用户（示例）
    • kafka-configs.sh --bootstrap-server localhost:9093 --alter --add-config ‘SCRAM-SHA-256=[iterations=8192,password=writer-pass]’ --entity-type users --entity-name writer
  • 客户端最小配置
    • security.protocol=SASL_SSL
    • sasl.mechanism=SCRAM-SHA-256
    • sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username=“writer” password=“writer-pass”;
• ACL 细粒度授权（示例）
  • 授予对主题 test_topic 的生产/消费权限（可按 host 限制）
    • kafka-acls.sh --bootstrap-server localhost:9093 --add --topic test_topic --user writer --operation Read,Write --producer --consumer
• 其他机制
  • 如需企业统一认证，可采用 SASL/GSSAPI（Kerberos）；如需无状态令牌，可在 SASL 之上使用 Delegation Token；如需简单口令且已启用 TLS，可用 SASL/PLAIN。

四 主机与网络安全加固

• 最小权限运行
  • 创建专用系统用户/组（如 kafka:kafka），安装目录与日志目录仅该用户可读写
    • groupadd kafka; useradd -g kafka kafka
    • chown -R kafka:kafka /opt/kafka
    • chmod -R 750 /opt/kafka /opt/kafka/logs
• 防火墙与端口
  • 仅开放必要端口（如 9093/SSL），限制来源网段
    • firewall-cmd --permanent --add-port=9093/tcp; firewall-cmd --reload
• 网络隔离与访问控制
  • 将集群置于隔离网络/VPC，通过安全组/ACL限制来源；禁用明文端口（如 PLAINTEXT 9092）对外暴露
• 系统与进程加固
  • 启用 SELinux/AppArmor 等强制访问控制；限制 Kafka 进程资源；对管理口与 JMX 端口设置访问控制。

五 审计监控与运维

• 日志与审计
  • 启用并集中采集 Kafka 服务日志与 auditd 系统审计，对关键操作（创建主题、ACL 变更、配置修改）设置告警
• 监控与告警
  • 监控 请求错误率、认证失败、异常连接、延迟与积压，配置阈值告警
• 补丁与配置治理
  • 定期升级 Kafka/JDK/依赖并应用安全补丁；使用配置扫描工具与定期安全审计复核策略有效性
• 备份与恢复
  • 定期备份 配置、证书/密钥、ACL 清单与主题元数据，并演练恢复流程。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！