如何以非 root 用户身份运行 Kafka？

Question

根据其docs，Apache Kafka 默认登录到/tmp/kafka-logs。

由于/tmp 在Linux 中归root 所有，因此对我来说，这意味着您必须以root 的身份运行Kafka 才能正确登录到该位置。但是出于安全目的，我不希望它以 root 身份运行，所以我试图弄清楚我的选择是什么。我相信我必须在以下选项中做出选择：

1. 使用-Dkafka.logs.dir 命令行开关为要写入的日志指定不同的位置（不属于root 用户）；或
2. 提前（即在启动 Kafka 之前）修改系统，以便 /tmp/kafka-logs 与将要启动 Kafka 的用户拥有相同的用户（或者，通常，确保 Kafka 用户拥有r/w/x 对该目录的正确权限）；或

有人可以澄清（或更正）我对 Linux 权限和进程的理解是正确的，并且这是我仅有的两个选择吗？当然，如果有任何其他选项可以让我以非 root 身份运行 Kafka，请加入！

Answer 1

$ ls -ld /tmp
drwxrwxrwt 16 root root 32768 Sep 28 16:39 /tmp

第一个rwx表示/tmp对其所有者（root）可读、可写和可执行，第二个rwx表示它对其组（root）可读、可写和可执行，第三个@ 987654325@ 表示每个人都可以读取、写入和执行。 （对于目录“可执行”意味着它可以被导航到）。

因此您的非特权用户可以将日志文件写入/tmp。如果其他用户已经创建了自己的/tmp/kafka-logs，则可能会出现问题。

但是，从长远来看，将日志写入 /tmp 并不是一种可持续的策略。如果这是个人系统，一切正常，但在生产系统上，您不会期望/tmp 拥有像/var/log 这样的目录所具有的保留存储空间或维护注意事项。通过它的名字，你可以猜到/tmp 中的文件在空间开始用完时被认为是公平的删除游戏。

您链接的页面非常清晰 - 尽管有默认设置，但他们希望您至少提供一个包含 broker.id、logs.dir 和 zookeeper.connect 的属性文件。

因此，配置您喜欢的任何日志目录，可由您的首选用户写入。