Ollama随着部署数量的增加，Ollama 服务器的“裸奔”现象也逐渐显现，这给用户带来了潜在的安全隐患。本文将结合三个链接的内容，详细介绍如何通过设置 API Key 来保护你的本地 DeepSeek 安全。

Ollama 作为一款支持运行多个大模型的工具，默认情况下并未启用身份认证功能。很多开发者可能忽视了这个问题，导致其大模型服务暴露给了不明身份的访问者，这不仅给服务带来了风险，还可能引发大规模的资源滥用事件。因此，为 Ollama 配置身份认证，限制未授权的访问，是防止数据泄露、保护计算资源以及提升系统安全的必要措施。

通过 Caddy 反向代理添加 HTTP Basic Auth 认证

方法一：通过 Caddy 反向代理添加 HTTP Basic Auth 认证

安装 Caddy

Mac/Linux 系统：
curl https://webi.sh/caddy | sh
# linux下载目录在：~/Downloads/webi/caddy
# 如果从github下载超时，可以提前手动下载放入进去
#执行配置生效
source ~/.config/envman/PATH.env

Windows 系统：
curl.exe https://webi.ms/caddy | powershell

caddy 配置文件

#配置canddy的配置文件，如果没有文件目录，手动创建
cat <<EOF > /etc/caddy/Caddyfile
:11435 {
# Define a matcher for authorized API access
@apiAuth {
header Authorization "Bearer {env.OLLAMA_API_KEY}"
}
# Proxy authorized requests
reverse_proxy @apiAuth http://localhost:11434 {
header_up Host {http.reverse_proxy.upstream.hostport}
}
# Define a matcher for unauthorized access
@unauthorized {
not {
header Authorization "Bearer {env.OLLAMA_API_KEY}"
}
}
# Respond to unauthorized access
respond @unauthorized "Unauthorized" 401 {
close
}
}
EOF

设置API KEY

#设置新 API KEY
export OLLAMA_API_KEY=`echo "sk-ollama-$(openssl rand -hex 16)"`
echo $OLLAMA_API_KEY

# 保存 API KEY 便于后续使用
echo "export OLLAMA_API_KEY=$OLLAMA_API_KEY" > /etc/caddy/ollama_api_key

# 设置 API KEY 为已保存的 API_KEY
source /etc/caddy/ollama_api_key

启动caddy

#启动caddy服务
caddy run --config /etc/caddy/Caddyfile &
  
  #上述配置设置了 caddy 的端口是 11435，ollama的端口是11434

通过以上步骤，Caddy 会将所有对 Ollama 服务的请求进行身份验证，确保只有输入正确的用户名和密码的用户才能访问。

方法二：使用 Docker 镜像运行带有基本认证的 Ollama 服务

• 项目开源地址：https://github.com/g1ibby/ollama-auth
• 使用 Docker 镜像，运行以下命令启动带有基本认证的 Ollama 服务：
• docker run -p 8200:80 -e CADDY_USERNAME=myusername -e CADDY_PASSWORD=mypassword ghcr.io/g1ibby/ollama-auth:latest
• 这将启动一个新的 Docker 容器，将主机的 8200 端口映射到容器的 80 端口。基本认证的凭据可以通过 CADDY_USERNAME 和 CADDY_PASSWORD 环境变量设置。
• 访问 Ollama 服务
• Ollama 服务将自动启动，并在主机的 http://localhost:8200 上可用。

通过 iptables设置ip白名单认证

1. 清理现有规则（可选）

#为了确保没有冲突的规则影响新的配置
iptables -F
iptables -X

2. 清理可能存在的针对11434端口的旧规则（可选）

#在添加新规则之前，先删除任何可能已经存在的针对11434端口的规则：
iptables -D INPUT -p tcp --dport 11434 -j ACCEPT
iptables -D INPUT -p tcp --dport 11434 -j DROP

3.允许本地回环接口(lo)的所有流量

#这是为了确保本机上的服务能够正常通信
iptables -A INPUT -i lo -j ACCEPT

允许特定IP地址访问11434端口

# 允许本机(回环接口)访问11434端口
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 11434 -j ACCEPT

# 允许特定外部IP访问11434端口
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 11434 -j ACCEPT
iptables -A INPUT -s 192.168.1.101 -p tcp --dport 11434 -j ACCEPT
iptables -A INPUT -s 192.168.1.102 -p tcp --dport 11434 -j ACCEPT

4. 拒绝其他所有IP访问11434端口

确保现有的合法连接不会被新规则中断。

#最后一步是添加一个通用规则，拒绝所有其他未明确允许的IP地址访问11434端口
iptables -A INPUT -p tcp --dport 11434 -j DROP

总结

通过以上方法，你可以为 Ollama 服务添加身份认证，避免“裸奔”带来的安全隐患。无论是使用 Caddy 反向代理，使用继承caddy与ollama的 Docker 镜像、使用IP白名单，都能有效提升 Ollama 服务的安全性，保护你的本地 DeepSeek 安全。