国家网络安全通报中心提示本地部署大语言模型存在安全风险,如何避免服务器被黑客攻击?
很正常。不仅是大模型,极多软件是会在安装后打开某个端口等待外界连接的。这些软件或者本身安全水平堪忧;或者虽然本身没什么安全性问题,但必须正确配置后才能安全。比如当年的典型案例,http://upload.360safe.com的ftp服务就错误的配置为任何人可读可写,使得360盗取的用户隐私信息由此扩散出去,数月后才得以修复。
过去是无需考虑这些的。因为过去都是IP V4,你的电脑你的手机都是通过路由器上网的;而路由器本身会隐藏接入它的所有局域网设备——想要把内网服务暴露到互联网,你反而必须熟悉网络配置,自己主动配置NAT,把相关服务公布到互联网。
但现在IP V6逐渐上线。默认情况下,IP V6是不会隐藏局域网设备的,所有设备都直面互联网。这才使得你自己安装的各种软件,从samba到ftp再到ollama等等,全都直接对互联网打开端口。
你可以使用:
Jason Ng Open Source查看自己的外网ip。需要同时关注ip v4和ip v6哦。
然后,使用在线的端口扫描网站,比如:
端口扫描 - 在线工具Online IPv6 Port Scanner,前一个可以查看你对互联网开放的ip v4端口,后一个可查看对互联网开放的ip v6端口。注意把ollama用的11434端口加入它的扫描列表再开始扫描。
如果所有端口都是关闭状态(显示为绿色),那你就可以放心了。你的电脑被保护的很好(但要确保你用的路由器较新而且打了更新补丁,老旧路由器可能存在漏洞、从而允许互联网攻击者用它当跳板攻击内网机器)。
否则的话:
1、配置你的电脑防火墙,禁止11434等端口接受来自互联网的访问。
注意仅仅关闭11434是不够的,任何你不打算公开到互联网的端口都要关闭。
2、修改ollama配置,让它在127.0.0.1提供服务(而不是0.0.0.0)。
3、配置路由器,禁止ip v6设备直接暴露在互联网上
4、关闭ip v6
以上4条可以全部执行,也可以只执行其一。这要看你的网络知识水平。
水平够高,那就可以开ip v6、ip v6设备直连互联网,仅仅配置防火墙或者ollama本身,禁止ollama等服务对外服务即可。
但如果网络水平不行、或者怕麻烦,那么至少要禁止ip v6设备直接暴露于互联网(我就是这个配置,因为习惯ip v4非NAT不得联网的默认策略了,就怕一时不慎把某个不靠谱的服务端口通过ip v6暴露出去)。
ip v6本身尽量不要关,随着ip v4资源枯竭,它可能越来越重要。
