Ollama 安全加固措施

Ollama 安全加固措施

为了保护在公网上运行的 Ollama 服务并限制访问,可以采取以下措施:

方法一:通过防火墙限制

Linux系统 使用 ufw 防火墙

  1. 检查 Ollama 默认监听的端口(通常是 11434)。
  2. 配置 ufw 只允许指定 IP 访问 11434 端口:
# 允许指定 IP 访问 11434 端口
ufw allow from <指定IP> to any port 11434 proto tcp

# 拒绝其他所有 IP 访问 11434 端口
ufw deny in to any port 11434 proto tcp

<指定IP> 替换为允许访问的 IP 地址(如 192.168.1.100)。完成后,重新加载防火墙规则:

ufw reload

确保 ufw 已启用:

ufw enable

Windows 系统(使用 Windows 防火墙)

  1. 打开“Windows Defender 防火墙” -> “高级设置”。
  2. 创建一个新的“入站规则”,选择端口 11434,协议为 TCP。
  3. 在“范围”选项中,指定允许访问的远程 IP 地址。
  4. 保存并应用规则,其他未指定的 IP 将被阻止。

方法二:修改 Ollama 监听地址(配合防火墙)

默认情况下,Ollama 可能监听 0.0.0.0(所有接口)。你可以将其改为仅监听本地接口(127.0.0.1),然后通过反向代理(如 Nginx)控制访问。

设置环境变量 OLLAMA_HOST

Linux

/etc/systemd/system/ollama.service 中添加:

Environment="OLLAMA_HOST=127.0.0.1:11434"

然后重启ollama服务

systemctl daemon-reload
systemctl restart ollama

Windows

在系统环境变量中添加 OLLAMA_HOST=127.0.0.1:11434,然后重启 Ollama 服务。

通过配置Nginx反向代理,在代理层限制 IP:

server {
    listen 80;
    location / {
        proxy_pass http://127.0.0.1:11434;
        allow <指定IP>;  # 替换为允许的 IP
        deny all;        # 拒绝其他 IP
    }
}

重启 Nginx:

systemctl restart nginx

方法三:使用 VPN 或内网访问

将 Ollama 部署在本地网络中,通过 VPN连接到服务器,避免直接暴露在公网上。仅允许 VPN 内的 IP 访问服务。


评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注