Ollama 未授权访问漏洞

预览

Ollama 是一个开源的便于本地部署和运行 Llama 3、Mistral、Gemma 等大型语言模型的工具。

据描述，由于 Ollama 的默认部署配置未强制启用身份认证机制，如果服务端口（默认11434）直接暴露于公网，则攻击者可直接访问高危接口，从而读取、下载或删除私有模型文件，并窃取敏感业务数据或滥用模型推理资源，如果 Ollama 以 Docker 部署，则攻击者可能通过恶意指令注入实现容器逃逸。

• 模型管理接口（拉取/删除模型文件）
• 模型推理接口（执行任意 Prompt 指令）
• 系统配置接口（篡改服务参数）

预览

未授权访问漏洞可能导致以下危害：

1. 敏感信息泄露：攻击者可以访问并窃取系统中的敏感数据，如用户个人信息、财务数据等。
2. 数据篡改：攻击者可以修改系统中的数据，可能导致数据不一致或系统行为异常。
3. 服务中断：攻击者可能通过未授权访问执行恶意操作，导致服务不可用或系统崩溃。
4. 法律风险：未授权访问可能导致法律诉讼和合规问题，给组织带来负面影响。

预览

1. 如无必要，建议将 Ollama 服务端口（11434）从公网关闭，仅允许内网或 VPN 访问；

2. 配置安全组，限制指定来源 IP 才能访问 Ollama 服务端口（11434）；

3. 若需公网访问，建议配置反向代理（如 Nginx）并启用 HTTP Basic 认证或 OAuth 集成：

Nginx 配置示例（需生成 .htpasswd 文件）

location / {
proxy_pass http://localhost:11434;
auth_basic "Ollama Admin";
auth_basic_user_file /etc/nginx/conf.d/ollama.htpasswd;
}

【备注】

1. 建议在修复前对现有模型数据及配置文件进行备份。
2. 定期检查服务日志（~/.ollama/logs）监控异常请求：
   (1) grep "POST /api/pull" ~/.ollama/logs/server.log
   (2) grep "POST /api/delete" ~/.ollama/logs/server.log
   (3) grep "POST /api/generate" ~/.ollama/logs/server.log