Linux Kafka配置中的安全策略有哪些

Linux Kafka 安全策略全景

一 传输加密 SSL TLS

• 启用单向或双向认证：单向仅验证服务端；双向同时验证客户端与服务端，适用于高安全场景。常见端口为 9093/9095（SSL）。
• 证书与密钥管理：使用 keytool 生成 keystore/truststore，用 OpenSSL 生成 CA 并对服务端/客户端证书签名；将 CA 证书导入对端的信任库。
• Broker 关键配置示例：
  • listeners=SSL://:9093
  • ssl.keystore.location=/path/server.keystore.jks；ssl.keystore.password=…
  • ssl.truststore.location=/path/server.truststore.jks；ssl.truststore.password=…
  • 双向认证开启：ssl.client.auth=required
• 客户端连接示例：
  • security.protocol=SSL
  • ssl.truststore.location=/path/client.truststore.jks；ssl.truststore.password=…
  • 如使用双向：ssl.keystore.location=/path/client.keystore.jks；ssl.keystore.password=…
  • 公网或跨域访问时，建议将 ssl.endpoint.identification.algorithm 置空以避免主机名校验问题（云厂商常见做法）。

二 身份认证 SASL

• 启用方式：通过 JAAS 配置，在 server.properties 中设置 listeners 为 SASL_PLAINTEXT 或 SASL_SSL，并配置 sasl.enabled.mechanisms 与 sasl.mechanism.inter.broker.protocol。
• 支持机制：
  • PLAIN：用户名/密码，必须叠加 TLS 使用；适合快速接入与脚本场景。
  • SCRAM-SHA-256/512：挑战-响应，凭据存于 ZooKeeper，支持在线增删用户（kafka-configs.sh）。
  • GSSAPI（Kerberos）：企业统一认证，需 keytab 与 realm 配置。
• Broker 侧最小配置要点：
  • sasl.enabled.mechanisms=SCRAM-SHA-256,SCRAM-SHA-512（可按需选择其一或多种）
  • sasl.mechanism.inter.broker.protocol=SCRAM-SHA-512（broker 间通信机制）
  • JAAS 示例（SCRAM）：KafkaServer { org.apache.kafka.common.security.scram.ScramLoginModule required; };
  • JAAS 示例（PLAIN）：KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required user_admin=“…” …; };
• 客户端示例（SCRAM）：security.protocol=SASL_SSL；sasl.mechanism=SCRAM-SHA-512；sasl.jaas.config=…。

三 授权与访问控制 ACL

• 启用 ACL：在 server.properties 配置 authorizer.class.name（如 kafka.security.authorizer.AclAuthorizer），并按需设置 allow.everyone.if.no.acl.found=false。
• 常用授权命令（kafka-acls.sh）：
  • 为用户授予主题写权限：
    • bin/kafka-acls.sh –authorizer-properties zookeeper.connect=localhost:2181 –add –allow-principal User:alice –topic test-topic –operation WRITE
  • 查看 ACL：
    • bin/kafka-acls.sh –authorizer-properties zookeeper.connect=localhost:2181 –list –topic test-topic
• 建议按“最小权限”原则为应用主体（User:…）授予 Topic/Group/Cluster 的 Read/Write/Describe 等细粒度权限。

四 网络安全与系统加固

• 网络与端口：仅开放必要端口（如 9092/9093/2181），使用 firewalld/iptables 限制来源；对公网仅暴露 SSL 端口。
• 主机与进程：以 非 root 运行 Kafka，配置最小权限目录与文件；开启 SELinux/AppArmor 进行强制访问控制。
• SSH 安全：禁用密码登录、使用 密钥对、限制来源 IP、可变更默认端口。
• 入侵防护：部署 fail2ban 自动封禁暴力尝试；部署 auditd 记录关键操作审计。
• 服务最小化：关闭无用服务与端口，减少攻击面。

五 运维监控与合规

• 日志与审计：启用 Kafka 访问/错误日志，结合 SIEM 实时监控异常；必要时采集系统审计日志。
• 证书与凭据轮换：定期更新 TLS 证书 与 SCRAM/Kerberos 凭据，避免长期暴露风险。
• 补丁与版本：及时升级 Kafka 与依赖组件，修复已知漏洞。
• 备份与演练：定期备份 Topic 数据与 ZooKeeper 快照，并验证恢复流程；对安全策略进行周期性评估与演练。