Ubuntu Kafka安全配置注意事项

Ubuntu上部署Kafka的安全配置要点

一 加密与认证

• 传输加密：优先启用SSL/TLS，在 server.properties 中配置listeners=SSL://:9093（示例端口），并设置ssl.keystore.location/ssl.truststore.location、ssl.keystore.password/ssl.truststore.password等；客户端使用相同协议与信任库连接。为最大限度降低风险，生产环境建议禁用明文端口，仅保留SASL_SSL或SSL。如使用云服务，按控制台提供的SSL接入点与证书操作。证书建议由私有CA签发并分发给 Broker 与客户端信任库。为 Broker 间也启用加密，设置security.inter.broker.protocol=SSL。
• 认证机制：启用SASL，常用为SCRAM-SHA-256/512（可动态增删用户、无需重启）或SASL/PLAIN（仅在启用 TLS 时使用）。Broker 端设置sasl.enabled.mechanisms与sasl.mechanism.inter.broker.protocol，并通过JAAS配置登录模块；客户端在 producer/consumer 配置security.protocol=SASL_SSL与对应sasl.mechanism，必要时使用sasl.jaas.config提供凭据。

二 授权与访问控制

• ACL 授权：启用ACL限制对Topic/Group/Cluster的操作权限，按“Principal（用户）- Operation（读/写/创建/删除）- Resource（主题/组）- Host（可选）”精细授权；对管理操作单独授予ClusterAction。示例：kafka-acls.sh --authorizer-properties zookeeper.connect=… --add --allow-principal User:alice --topic test-topic --operation WRITE。
• 监听与暴露面：正确设置listeners与advertised.listeners，仅暴露必要接口；跨机房或公网访问时，仅开放SSL/TLS端口，避免将PLAINTEXT暴露到不受信任网络。
• 最小权限原则：为应用创建专用账号，只授予所需 Topic/分区的读写权限；定期审计并清理不再使用的账号与权限。

三 网络安全与系统加固

• 防火墙与网络隔离：使用ufw/iptables仅放行9092/9093（或实际使用的 SSL 端口）与2181（Zookeeper），对公网或跨 VPC 访问采用VPC/安全组白名单；Broker 与客户端之间、Broker 与 Zookeeper 之间建议同网段/VPC部署，减少暴露面。
• 系统级防护：保持系统与安全补丁更新；限制root直接登录，使用SSH 密钥登录；按需启用AppArmor/SELinux对 Kafka 进程与数据目录进行强制访问控制；对关键目录设置最小权限（如日志与数据目录 750，配置 640）。

四 运维监控与备份

• 日志与审计：启用Kafka 访问与授权日志，集中到SIEM进行实时监控与告警；对敏感操作（创建/删除 Topic、ACL 变更）设置审计留痕。
• 证书与密钥管理：证书集中分发与定期轮换，变更时滚动更新keystore/truststore并重启 Broker；避免将明文密码写入代码或配置管理，使用KMS/Secret Manager或受控文件权限管理。
• 备份与恢复：定期备份Zookeeper 快照与Kafka 日志目录，并进行恢复演练；对关键配置与 ACL 规则做版本化备份，确保可回滚。

五 快速检查清单