国家网络安全通报中心通报了Ollama的风险因素，我们在这里针对这些风险探讨一些防护措施。

一、强制网络隔离(三选一)

1. 修改Ollama默认监听

```bash

# 修改Ollama启动配置（Linux系统）

sudo systemctl edit ollama.service

# 在[Service]部分添加环境变量，强制绑定本地IP，修改默认端口

ExecStart=/usr/bin/ollama serve --host 127.0.0.1:12000

# 重启服务

sudo systemctl daemon-reload

sudo systemctl restart ollama

```

验证命令：

```bash

curl 127.0.0.1:11434 # 应正常响应

curl 服务器公网IP:11434 # 应提示连接拒绝

```

2. 防火墙硬封锁（Ubuntu示例）

```bash

# 封禁所有对11434端口的访问

sudo ufw deny 11434

sudo ufw reload

# 或使用iptables（临时生效）

sudo iptables -A INPUT -p tcp --dport 12000 -j DROP

```

3. SSH隧道实现远程访问（替代公网暴露）

```bash

# 本地执行，将远程11434端口映射到本地12000

ssh -N -L 12000:127.0.0.1:11434 user@your-server-ip

# 使用本地端口访问

curl http://127.0.0.1:12000/api/tags

```

二、API访问认证（Nginx反向代理方案）

1. 基础认证（Basic Auth）

```bash

# 安装htpasswd工具

sudo apt-get install apache2-utils

# 生成密码文件（替换user1为用户名）

sudo htpasswd -c /etc/nginx/.ollama_passwd user1

```

Nginx配置示例（`/etc/nginx/safe/ollama`）：

```nginx

server {

listen 11435;

server_name localhost;

location / {

proxy_pass http://127.0.0.1:11434;

auth_basic "Ollama Auth";

auth_basic_user_file /etc/nginx/.ollama_passwd;

# 限制高频调用

limit_req zone=one burst=10 nodelay;

}

# 封禁危险接口（如删除模型）

location ~* /api/delete {

deny all;

return 403;

}

}

# 定义限流策略

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

```

生效命令：

```bash

sudo nginx -t && sudo nginx -s reload

```

三、敏感操作监控（日志审计脚本）

1. 实时监控删除等操作

```bash

# 创建监控脚本 /opt/ollama_monitor.sh

#!/bin/bash

tail -f /var/log/ollama/access.log | grep --line-buffered -E 'POST /api/(delete|pull)' | while read line; do

echo "[ALERT] 敏感操作: $line" | mail -s "Ollama安全告警" admin@example.com

curl -X POST -H 'Content-Type: application/json' -d '{"text":"检测到高危操作: '$line'"}'
https://custom/webhook-url

done

```

设置开机自启：

```bash

sudo crontab -e

@reboot /opt/ollama_monitor.sh >/dev/null 2>&1

```

四、数据加密与备份

1. 启用HTTPS（Let's Encrypt证书）

```bash

# 安装Certbot

sudo snap install --classic certbot

sudo certbot certonly --standalone -d ollama.your-domain.com

# 修改Ollama启动参数（强制HTTPS）

sudo systemctl edit ollama.service

ExecStart=/usr/bin/ollama serve --tls-cert /etc/letsencrypt/live/ollama.your-domain.com/fullchain.pem --tls-key /etc/letsencrypt/live/ollama.your-domain.com/privkey.pem

```

2. 自动化加密备份

```bash

# 每日凌晨备份模型数据（使用AES加密）

0 3 * * * tar czf - /var/lib/ollama | openssl enc -aes-256-cbc -salt -out /backup/ollama-$(date +\%F).tar.gz.enc -pass pass:YourStrongPassword

```

五、紧急漏洞修复流程

1. 快速升级命令

```bash

# 通过官方脚本升级

curl -fsSL https://ollama.ai/install.sh | sh

# 或手动下载最新版

wget https://github.com/ollama/ollama/releases/download/vnew/ollama-linux-amd64

chmod +x ollama-linux-amd64

sudo systemctl restart ollama

```

2. 已知高危漏洞临时缓解（示例：CVE-2024-39722）

```bash

# 禁用模型上传接口

sudo iptables -I INPUT -p tcp --dport 11434 -m string --string "POST /api/push" --algo bm -j DROP

```

六、访问日志分析（入侵检测）

1. 异常登录检测

```bash

# 检查1小时内失败登录超过5次的IP

cat
/var/log/ollama/access.log | grep '401' | awk '{print $1}' | sort | uniq -c | sort -nr | awk '$1>5 {print "封禁IP:" $2}'

# 自动封禁（结合fail2ban）

sudo apt install fail2ban

echo -e "[ollama-401]\nenabled=true\nfilter=ollama-auth\nlogpath=/var/log/ollama/access.log\nmaxretry=3\nfindtime=3600\nbantime=86400" | sudo tee /etc/fail2ban/jail.d/ollama.conf

```

AI虽好，Ollama简便，但是安全问题不容忽视，不要让你的GPU变成别人的早餐。