针对Ollama进行DeepSeek本地部署存在的安全风险,使用nginx进行反向代理配置是一种有效的解决方案

最新推荐文章于 2025-04-22 10:37:10 发布
最新推荐文章于 2025-04-22 10:37:10 发布
阅读量907 收藏 4
点赞数 5
文章标签: 安全 nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43209512/article/details/146045073
版权

针对Ollama进行DeepSeek本地部署存在的安全风险,使用nginx进行反向代理配置是一种有效的解决方案。以下将详细阐述这一方案的具体实施步骤和注意事项:

一、安全风险概述
据国家网络安全通报中心发布的情况通报,清华大学网络空间测绘联合研究中心分析指出,开源跨平台大模型工具Ollama默认配置存在未授权访问与模型窃取等安全隐患。在使用Ollama在本地部署DeepSeek等大模型时,会在本地启动一个Web服务,并默认开放11434端口且无任何鉴权机制,这导致服务直接暴露在公网环境下,存在数据泄露、算力盗取、服务中断等多重安全风险。

二、nginx反向代理配置解决方案

  1. 下载与安装nginx
    ‌下载nginx‌:访问nginx官网下载稳定版nginx。
    ‌安装nginx‌:根据操作系统类型,按照nginx的安装指南进行安装。
  2. 配置nginx反向代理
    ‌打开nginx配置文件‌:通常位于/etc/nginx/nginx.conf或nginx安装目录下的conf文件夹中。
    ‌添加反向代理配置‌:在nginx配置文件中添加如下配置(以实际环境为准进行调整):
    nginx
    Copy Code
    worker_processes 1;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

server {
    listen 80;  # 监听端口,可根据需要调整
    server_name example.com;  # 服务器域名或IP地址,可根据需要调整

    location / {
        proxy_pass http://localhost:11434;  # 将请求转发给Ollama服务的本地端口
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    # 其他配置...
}

}
‌保存并重启nginx‌:保存nginx配置文件,并重启nginx服务以使配置生效。
3. 验证配置
‌访问测试‌:通过浏览器或其他HTTP客户端访问nginx监听的端口(如上述配置中的80端口),验证是否能够成功访问到Ollama提供的DeepSeek服务。
‌安全检查‌:确保nginx配置正确,且能够有效阻止未经授权的访问。
三、其他安全加固建议
除了使用nginx反向代理外,还可以采取以下安全加固措施来进一步提升Ollama部署DeepSeek的安全性:

‌限制Ollama监听范围‌:仅允许11434端口本地访问,并验证端口状态。
‌配置防火墙规则‌:对公网接口实施双向端口过滤,阻断11434端口的出入站流量。
‌实施多层认证与访问控制‌:启用API密钥管理,定期更换密钥并限制调用频率;部署IP白名单或零信任架构,仅授权可信设备访问。
‌禁用危险操作接口‌:如push/delete/pull等,并限制chat接口的调用频率以防DDoS攻击。
‌及时更新Ollama‌:及时关注Ollama的更新动态,将Ollama更新至安全版本以修复已知安全漏洞。
综上所述,通过nginx反向代理配置以及其他安全加固措施的实施,可以有效提升Ollama部署DeepSeek的安全性。

CZIDC
关注
Ollama进行DeepSeek本地部署存在安全风险解决方案nginx反向代理配置
博客
03-04 742
据清华大学网络空间测绘联合研究中心分析,开源跨平台大模型工具Ollama默认配置存在未授权访问与模型窃取等安全隐患。鉴于目前DeepSeek等大模型的研究部署和应用非常广泛,多数用户使用Ollama私有化部署且未修改默认配置存在数据泄露、算力盗取、服务中断等安全风险,极易引发网络和数据安全事件。解决流程就是配置ollama环境变量,使用nginx反向代理
Ollama+Nginx+4090打造DeepSeek-R1-32B高可用大模型集群,助力企业拥抱AI时代
python12345_的博客
02-13 1578
可能大家都想学习AI大模型技术,也想通过这项技能真正达到升职加薪,就业或是副业的目的,但是不知道该如何开始学习,因为网上的资料太多太杂乱了,如果不能系统的学习就相当于是白学。大模型岗位需求越来越大,但是相关岗位人才难求,薪资持续走高,AI运营薪资平均值约18457元,AI工程师薪资平均值约37336元,大模型算法薪资平均值约39607元。观看零基础学习书籍和视频,看书籍和视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。的爆火,远不止于此。
警惕!你Ollama部署的模型正在被白嫖
日常记录分享,希望对大家有帮助,如有问题望大家批评指正
03-02 811
由于我用macmini m4在本地ollama部署了几个大模型,并通过内网穿透到了公网,由oneapi分发,但是没有ollama没做鉴权,导致任何人都可以通过我的ip访问访问我本地大模型。还好我今天收到了天翼云的提醒才意识到这个问题,现在已经修复这个问题了,希望看到朋友赶快去检查一下。
大模型工具Ollama安全加固实战:用Nginx反向代理化解风险
新手新手新的博客
03-05 2053
通过Nginx反向代理的Token验证+路径混淆+网络隔离三重防护,可低成本化解Ollama默认配置安全风险。此方案具备零侵入、易维护、灵活扩展的特点,尤其适合中小团队快速落地AI服务防护。随着大模型技术的普及,安全与效率的平衡将成为核心竞争力,唯有将安全思维前置,方能避免“裸奔上云”的代价。
Nginx反代Ollama接口跨域、无法逐字输出问题
小白
02-08 1789
本地部署deepseek模型,用的Ollama管理,内网穿透到公网,在通过nginx反代ollama接口跨域、逐字输出问题。
加固你的Ollama,避免安全风险!实操手册!
huang9604的博客
03-05 3289
一篇阅读超10万的安全通报,相信很多朋友都看到了。这让自己部署Ollama一下子成了高危的事情。安全无小事,如果是在公网上部署Ollama来用的话,一定要参考公告把相关的措施配置好,防火墙等一定要打开,这其实也都是网工日常工作中的基本操作。而个人在局域网中部署Ollama之后,要如何做才能更安全呢,来一起看看具体怎么操作吧。个人局域网中部署的话,因为我们基本上不会把Ollama的服务直接暴露出去,所以相对安全。它受攻击的几率和你安装的其它应用,比如Steam,微信等等受攻击的几率基本一样。
DeepSeek部署常见问题:服务稳定性与安全安全漏洞风险问题及解决方案
最新发布
专注于人工智能、软件开发、工控自动化、工厂数字化及智能化等领域,希望和大家共同进步!
04-22 882
摘要:本文围绕DeepSeek部署过程中面临的安全漏洞风险问题展开。详细阐述了默认配置暴露公网可能导致的数据泄露和算力窃取现象,深入剖析其背后的原因,并针对性地提出了网络防护、身份认证和工具检测三种解决方案。同时,给出了具体的实操流程和完整代码示例,旨在帮助开发者有效解决DeepSeek部署中的安全问题,提升服务的稳定性与安全性。
本地服务器通过docker部署dify,然后部署ollama以及deepseek。其他终端访问本地服务器的deepseek
02-20
另外一种方法就是借助反向代理工具 Nginx 或 Traefik 实现更灵活的安全性和负载均衡特性控制。 #### 测试连通性 最后一步便是验证一切正常运作无误。可以从另一台机器发起请求测试是否成功建立了连接关系。如果是...
deepseek本地部署怎样让大家都用上
03-29
一种常见做法是利用反向代理技术配合 SSL 加密传输数据流。Nginx 或 Caddy 是两个不错的选择用于设置 HTTPS 终端点。 以下是基于 Nginx 的简单配置实例: ```nginx server { listen 443 ssl; server_name your-...
如何为Ollama添加身份认证,避免“裸奔”带来的安全隐患
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
02-15 3829
无论是使用Caddy反向代理还是Nginx与Cloudflare隧道配置身份认证,确保Ollama服务不“裸奔”在互联网上,是保护服务安全的关键一步。配置合适的身份认证和安全措施,能够有效避免数据泄露、算力滥用等问题,保障你的大模型平台更加安全、稳定。如果你还没有为你的Ollama服务配置认证,现在就是时候了!
本地部署deepseek并远程访问
02-21
### 本地部署 DeepSeek 并实现远程访问 ...一种常见做法就是利用反向代理技术配合 SSL/TLS 加密传输来达成目的。 例如借助 Nginx 或 Caddy 来转发请求,并开启 HTTPS 支持,从而保护通信链路的安全性和隐私性。
重磅警告:你的Ollama正在被全球“白嫖“?深度解析Ollama安全风险与防护方案
star_nwe的博客
02-15 3680
Ollama安全问题提醒我们,在追求便利的同时不能忽视安全防护。通过本文提供的方案,您可以既享受Ollama带来的便利,又确保系统安全。建议所有Ollama用户立即检查自己的部署情况,采取必要的防护措施。作者注:本文仅供技术研究和安全防护参考,请勿用于非法用途。
nginx反向代理+负载均衡配置
ycy白米饭的博客
12-04 244
1.反向代理+负载均衡 upstream  www.101ycy.com   {     server   localhost:8088;     server   localhost:8087; }   server {     listen  8089;     server_name  www.101ycy.com;       location / {         proxy_pa...
Windows配置 Ollama 服务并开放局域网访问
不甘平凡的码农
02-25 2254
为了使其他设备能够访问 Ollama 服务,我们需要在 Windows 防火墙中开放 Ollama 服务运行的端口(例如 11434)。怎么查看本机ip地址,在cmd下输入ipconfig查看,我是用的WiFi,所以选择的是无线局域网适配器WLAN,你连接的宽带的话就看以太网的ip地址,如下所示。如果服务成功启动,页面应显示 Ollama API 的相关信息,表明你的服务已经能够在局域网中正常访问。这一过程简单且高效,能够帮助你快速地将本地 AI 服务共享给局域网中的其他设备,实现更广泛的应用场景。
Ollama 默认配置安全风险与大模型私有化部署的隐患
AAI666666的博客
03-07 1267
Ollama 作为一款开源的跨平台大模型部署工具,凭借其高效的私有化部署能力以及对 DeepSeek 等先进模型的广泛支持,受到开发者和技术爱好者的青睐。然而,在追求技术便捷性的同时,安全风险往往被忽视,导致潜在的网络和数据安全隐患。
Nginx反向代理(超详细)
m0_74825718的博客
12-05 1020
这一篇是nginx在Linux中实现的反向代理,首先在Linux中下载好nginx是前提在官网下载,可以直接下载tar.gz后缀的直接拖到Linux中解压就可以使用了,这里建议可以建一个文件夹进行存放,但是注意(不要叫nginx)可以取名Nginx,因为在解压之后会生成一个nginx的文件夹,这样就会产生冲突。就基本上完成了,最后要全部注意你的端口防火墙是否都已经全部打开,控制台中的安全端口是否已经开放,然后就可以直接在本机输入你的云服务器地址或者虚拟机的地址就可以打开啦!这里就会生成一个文件dist。
Nginx详解 五:反向代理
热门推荐
很多时候犯错都是在不知情的情况下发生的
05-11 1万+
比 weight、ip_hash更加智能的负载均衡算法,fair算法可以根据页面大小和加载时间长短智能地进行负载均衡,也就是根据后端服务器的响应时间 来分配请求,响应时间短的优先分配。当客户端再次请求访问相同资源时,反向代理可以直接返回缓存中的响应,无需二次请求,减少对后端服务器的请求压力,并加快响应速度。按访问的URL的哈希结果来分配请求,使每个URL定向到一台后端服务器,可以进一步提高后端缓存服务器的效率。根据后端服务器的连接状况进行分配客户请求,连接最少的服务器将被有限分配客户端请求。
oracle禁止访问监听,在Oracle数据库上设置限制ip地址访问以及需要注意的事项
weixin_31270363的博客
04-02 712
近期应客户要求,需要对访问生产环境的Oracle数据库的ip做一些限制,即:只有通过审核的ip才能访问数据库,其他ip一律禁止访问数据库。在oracle中可以通过sqlnet.ora文件的设置或者通过触发器可以实现对特定ip的限制访问。1、修改sqlnet.ora文件:步骤:a)测试在未设置前某一客户端的登录数据库情况:C:\Documents and Settings\ThinkPad>s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CZIDC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值