一、访问本地部署的 Ollama 服务
如果 Ollama 服务仅绑定在本地(默认配置或已安全加固),本地访问命令为:
curl http://localhost:11434/api/tags
或
curl http://127.0.0.1:11434/api/generate
- 预期结果:返回本地部署的模型列表或生成对话响应(需指定模型名称和参数)。
- 异常情况:若提示连接被拒绝,可能因服务未启动或配置错误(如防火墙阻止)。可检查服务状态或监听地址配置。
二、检测公网暴露风险
若需检查 11434 端口是否暴露在公网(存在安全隐患),远程访问命令为:
curl http://[公网IP]:11434/api/tags
或
curl http://[公网IP]:11434/api/generate
- 风险判断:
• 返回模型列表:端口已暴露,攻击者可调用模型或窃取数据。
• 连接超时/拒绝:端口未暴露或已配置防火墙限制。 - 典型漏洞案例:攻击者可通过暴露的端口直接调用模型(如
curl -d '{"model":"deepseek-r1", "prompt":"..."}'
),导致 GPU 资源滥用或敏感数据泄露。
三、安全加固建议(若检测到暴露)
- 限制监听地址
启动 Ollama 前设置环境变量,仅允许本地访问:
export OLLAMA_HOST=127.0.0.1 && ollama run deepseek
- 配置防火墙规则
• Linux(iptables/ufw/firewalld):禁止外部访问 11434 端口,仅允许本地回环地址。
• Windows:通过防火墙高级设置创建入站规则,阻止 11434 端口的公网连接。 - 验证配置
使用netstat -an | grep 11434
确认监听地址为127.0.0.1:11434
,而非0.0.0.0:11434
。
四、总结
通过 curl
访问 11434 端口既可验证服务可用性,也能检测安全风险。强烈建议本地部署时限制监听范围并配置防火墙,避免成为攻击目标。若需公网开放服务,应启用身份认证等额外安全措施(Ollama 默认无认证功能)。
Was this helpful?
0 / 0