介绍如何为 Gemma-3-12B-IT WebUI 实施三层安全加固。首先通过 Nginx 配置 HTTPS 反向代理,利用 Let's Encrypt 证书加密传输数据;其次设置 IP 白名单,仅允许特定地址访问服务;最后配置请求频率限制,防止资源滥用和 DDoS 攻击。文中提供了完整的 Nginx 配置文件示例、一键部署脚本及测试验证方法,确保 AI 服务在公网环境下的安全性与稳定性。
想象一下这个场景:你刚刚在服务器上部署了 Gemma-3-12B-IT 的 WebUI 界面,一个功能强大的 AI 助手已经准备就绪。它不仅能回答各种问题,还能帮你写代码、做分析、创作内容。
但几天后,你发现服务器变得异常缓慢,查看日志时吓了一跳——有大量来自陌生 IP 地址的请求,有些甚至尝试注入恶意指令。更糟糕的是,由于服务是通过 HTTP 明文传输的,所有对话内容都可能被中间人窃听。
这不是危言耸听。任何一个暴露在公网上的 AI 服务,如果没有适当的安全措施,都可能面临这样的风险。今天,我就来分享如何为你的 Gemma-3-12B-IT WebUI 穿上三层'防护甲':HTTPS 加密传输、IP 白名单访问控制、请求频率限制。
这三个措施加在一起,能让你的 AI 服务既安全又稳定,就像给自家房子装上了防盗门、监控摄像头和访客登记系统一样。
在开始安全加固之前,我们先确认一下基础环境。假设你已经按照标准流程部署了 Gemma-3-12B-IT WebUI,服务运行在 http://服务器 IP:7860。
首先,让我们确认服务正在正常运行:
# 检查服务状态
/root/gemma-3-webui/manage.sh status
# 如果服务未运行,先启动它
/root/gemma-3-webui/manage.sh start
# 验证 WebUI 可访问
curl -I http://localhost:7860
你应该能看到类似这样的响应:
HTTP/1.1 200 OK
Content-Type: text/html
了解你的网络环境很重要,这决定了你需要哪些安全措施:
确保你有服务器的 root 或 sudo 权限,并安装以下工具(如果尚未安装):
# 更新系统包
apt-get update
# 安装常用工具
apt-get install -y nginx curl net-tools
# 检查 Nginx 版本
nginx -v
默认情况下,Gemma-3-12B-IT WebUI 通过 HTTP 在 7860 端口提供服务。这意味着所有数据传输都是明文的,容易被窃听。我们要做的第一件事就是通过 Nginx 配置 HTTPS 反向代理。
简单来说,HTTPS 做了三件事:
对于 AI 对话应用,这尤其重要——你肯定不希望与 AI 的私密对话被泄露。
有多种方式获取 SSL 证书,这里介绍两种最常用的:
方法一:使用 Let's Encrypt 免费证书(推荐)
# 安装 Certbot 工具
apt-get install -y certbot python3-certbot-nginx
# 获取证书(将 your-domain.com 替换为你的域名)
certbot --nginx -d your-domain.com
# 证书会自动配置到 Nginx,我们稍后需要调整
方法二:使用自签名证书(测试环境)
如果你只是内部测试,可以生成自签名证书:
# 创建证书目录
mkdir -p /etc/nginx/ssl
# 生成自签名证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/nginx/ssl/gemma.key \
-out /etc/nginx/ssl/gemma.crt \
-subj "/C=CN/ST=Beijing/L=Beijing/O=YourOrg/CN=your-domain.com"
现在我们来配置 Nginx,让它作为 Gemma WebUI 的反向代理,并启用 HTTPS。
创建 Nginx 配置文件:
# 创建配置文件
nano /etc/nginx/sites-available/gemma-webui
将以下配置粘贴到文件中(根据你的实际情况修改):
# Gemma-3-12B-IT WebUI HTTPS 反向代理配置
server {
# 监听 80 端口,将所有 HTTP 请求重定向到 HTTPS
listen 80;
listen [::]:80;
server_name your-domain.com; # 替换为你的域名或 IP
# HTTP 重定向到 HTTPS
return 301 https://$server_name$request_uri;
}
server {
# 监听 443 端口(HTTPS)
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name your-domain.com; # 替换为你的域名或 IP
# SSL 证书路径
ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;
# 如果是自签名证书,使用以下路径
# ssl_certificate /etc/nginx/ssl/gemma.crt;
# ssl_certificate_key /etc/nginx/ssl/gemma.key;
# SSL 优化配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 安全头部
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
# 反向代理到 Gemma WebUI
location / {
proxy_pass http://127.0.0.1:7860;
# 代理设置
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket 支持(如果 WebUI 使用)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 超时设置
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
}
# 静态文件缓存(如果有的话)
location /static/ {
alias /path/to/static/files/;
expires 30d;
add_header Cache-Control "public, immutable";
}
# 访问日志
access_log /var/log/nginx/gemma-access.log;
error_log /var/log/nginx/gemma-error.log;
}
# 创建符号链接启用站点
ln -s /etc/nginx/sites-available/gemma-webui /etc/nginx/sites-enabled/
# 测试 Nginx 配置
nginx -t
# 如果显示"syntax is ok",重启 Nginx
systemctl restart nginx
# 检查 Nginx 状态
systemctl status nginx
现在,你应该可以通过 https://your-domain.com 访问 Gemma WebUI 了。浏览器可能会提示证书警告(如果是自签名证书),点击"高级"->"继续前往"即可。
HTTPS 解决了传输安全的问题,但谁可以访问你的服务呢?如果任何人都能访问,可能会被滥用。IP 白名单就像一道门禁,只允许指定的 IP 地址访问。
假设你的 AI 服务只在公司内部使用,或者只允许特定团队成员访问。IP 白名单可以:
在 Nginx 配置中添加 IP 限制。修改之前的配置文件:
server {
listen 443 ssl http2;
server_name your-domain.com;
# ... SSL 配置保持不变 ...
# IP 白名单配置
location / {
# 允许的 IP 地址列表
allow 192.168.1.0/24; # 示例:公司内网
allow 10.0.0.0/8; # 示例:另一个内网段
allow 203.0.113.123; # 示例:特定公网 IP
deny all; # 拒绝所有其他 IP
# 如果用户被拒绝,显示 403 页面
error_page 403 /403.html;
location = /403.html {
internal;
}
# 反向代理设置(保持不变)
proxy_pass http://127.0.0.1:7860;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
如果用户使用动态 IP(比如家庭宽带),IP 地址会变化。这时可以考虑以下方案:
方案一:使用 VPN 或内网穿透 让用户通过 VPN 连接到内网,使用内网 IP 访问。
方案二:配置动态 DNS+ 脚本更新 用户配置动态 DNS,你定期运行脚本更新白名单:
#!/bin/bash
# update_whitelist.sh - 动态更新 IP 白名单
# 从动态 DNS 获取当前 IP
USER_IP=$(dig +short user-dynamic-domain.com)
# 更新 Nginx 配置
sed -i "s/allow 203.0.113.123;/allow $USER_IP;/" /etc/nginx/sites-available/gemma-webui
# 重新加载 Nginx
nginx -s reload
echo "白名单已更新:$USER_IP"
方案三:使用认证网关 在 Nginx 前再加一层认证,比如使用 Basic Auth:
location / {
# Basic 认证
auth_basic "Restricted Access";
auth_basic_user_file /etc/nginx/.htpasswd;
# ... 其他配置 ...
}
创建密码文件:
# 安装 htpasswd 工具
apt-get install -y apache2-utils
# 创建用户(将 username 替换为实际用户名)
htpasswd -c /etc/nginx/.htpasswd username
配置完成后,需要测试白名单是否生效:
# 重新加载 Nginx 配置
nginx -s reload
# 从白名单内 IP 测试(应该能访问)
curl -k https://your-domain.com
# 从白名单外 IP 测试(应该返回 403)
# 可以使用代理或从另一台服务器测试
即使只有授权用户能访问,如果某个用户疯狂发送请求,也可能拖垮服务器。请求频率限制就像高速公路的收费站,控制车流速度。
Gemma-3-12B-IT 模型推理需要大量计算资源。如果没有限制:
Nginx 提供了强大的限流模块。我们在配置中添加限流规则:
# 在 http 块中定义限流区域(通常在/etc/nginx/nginx.conf 或单独文件)
http {
# 定义限流区域
limit_req_zone $binary_remote_addr zone=gemma_limit:10m rate=10r/s;
# ... 其他 http 配置 ...
}
server {
listen 443 ssl http2;
server_name your-domain.com;
# ... SSL 和 IP 白名单配置 ...
location / {
# 应用限流
limit_req zone=gemma_limit burst=20 nodelay;
# 如果超过限制,返回 429 状态码
limit_req_status 429;
# 错误页面
error_page 429 /429.html;
location = /429.html {
internal;
}
# ... 反向代理配置 ...
}
# API 端点可以有不同的限制
location /api/ {
# 更严格的限制
limit_req zone=gemma_limit burst=5 nodelay;
# ... 其他配置 ...
}
}
这个配置的意思是:
zone=gemma_limit:10m:分配 10MB 内存存储限流状态rate=10r/s:平均每秒最多 10 个请求burst=20:允许突发 20 个请求nodelay:突发请求不延迟,立即处理(直到超过限制)根据使用场景,你可能需要不同的限流策略:
场景一:个人使用或小团队
# 宽松限制,注重体验
limit_req_zone $binary_remote_addr zone=personal:10m rate=5r/s;
location / {
limit_req zone=personal burst=10 nodelay;
}
场景二:公开 API 服务
# 严格限制,防止滥用
limit_req_zone $binary_remote_addr zone=api:10m rate=1r/s;
location /api/ {
limit_req zone=api burst=3 delay=2;
}
场景三:按用户身份限流 如果需要更精细的控制,可以结合认证信息:
# 基于用户 ID 限流
limit_req_zone $remote_user zone=user_limit:10m rate=20r/s;
location / {
# 需要先配置认证
auth_request /auth;
# 基于认证用户限流
limit_req zone=user_limit burst=30 nodelay;
}
配置限流后,需要监控效果:
# 查看 Nginx 访问日志中的 429 错误
tail -f /var/log/nginx/gemma-access.log | grep "429"
# 查看限流状态(需要安装 nginx-module-vts)
# 或者使用 Prometheus + nginx_exporter 监控
你可以在 Nginx 日志中看到类似这样的记录:
123.456.789.123 - - [01/Apr/2024:10:30:15 +0800] "POST /chat HTTP/1.1" 429 0 "-" "Mozilla/5.0"
这表示来自 123.456.789.123 的请求因为超过频率限制被拒绝了。
现在我们把所有配置整合起来,形成一个完整的安全加固方案。
# /etc/nginx/sites-available/gemma-webui-secure
# HTTP 重定向到 HTTPS
server {
listen 80;
listen [::]:80;
server_name ai.yourcompany.com;
# 重定向所有 HTTP 请求到 HTTPS
return 301 https://$server_name$request_uri;
}
# HTTPS 主配置
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ai.yourcompany.com;
# SSL 证书
ssl_certificate /etc/letsencrypt/live/ai.yourcompany.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ai.yourcompany.com/privkey.pem;
# SSL 优化
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 安全头部
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "strict-origin-when-cross-origin";
# 根路径 - 应用所有安全措施
location / {
# 1. IP 白名单
allow 192.168.1.0/24; # 办公室网络
allow 10.10.0.0/16; # 数据中心网络
allow 203.0.113.50; # 管理员家庭 IP
deny all;
# 2. 请求频率限制
limit_req zone=gemma_limit burst=20 nodelay;
# 3. 连接数限制(防止单个 IP 占用所有连接)
limit_conn gemma_conn 10;
# 4. 请求体大小限制(防止过大请求)
client_max_body_size 10M;
# 5. 超时设置
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 300s; # 模型推理可能需要较长时间
# 反向代理到 Gemma WebUI
proxy_pass http://127.0.0.1:7860;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket 支持
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 错误页面
error_page 403 /403.html;
error_page 429 /429.html;
error_page 500 502 503 504 /50x.html;
location = /403.html {
internal;
return 403 '{"error": "Access denied. Your IP is not in whitelist."}';
}
location = /429.html {
internal;
return 429 '{"error": "Too many requests. Please slow down."}';
}
}
# 健康检查端点(不受限流和 IP 限制)
location /health {
access_log off;
allow all;
proxy_pass http://127.0.0.1:7860;
proxy_set_header Host $host;
# 快速失败,不等待模型
proxy_read_timeout 2s;
return 200 '{"status": "healthy"}';
}
# 日志配置
access_log /var/log/nginx/gemma-secure-access.log combined;
error_log /var/log/nginx/gemma-secure-error.log;
}
为了方便部署,这里提供一个完整的配置脚本:
#!/bin/bash
# gemma-security-setup.sh - Gemma WebUI 安全加固一键脚本
set -e # 遇到错误立即退出
echo "=== Gemma-3-12B-IT WebUI 安全加固部署脚本 ==="
echo ""
# 检查是否为 root 用户
if [ "$EUID" -ne 0 ]; then
echo "请使用 root 权限运行此脚本"
exit 1
fi
# 1. 安装必要软件
echo "[1/6] 安装必要软件..."
apt-get update
apt-get install -y nginx certbot python3-certbot-nginx
# 2. 获取 SSL 证书
echo "[2/6] 配置 SSL 证书..."
read -p "请输入域名(如 ai.yourcompany.com): " DOMAIN
if [ -z "$DOMAIN" ]; then
echo "使用自签名证书..."
mkdir -p /etc/nginx/ssl
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/nginx/ssl/gemma.key \
-out /etc/nginx/ssl/gemma.crt \
-subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=$DOMAIN"
SSL_CERT="/etc/nginx/ssl/gemma.crt"
SSL_KEY="/etc/nginx/ssl/gemma.key"
else
echo "获取 Let's Encrypt 证书..."
certbot certonly --standalone -d $DOMAIN --non-interactive --agree-tos -m admin@$DOMAIN
SSL_CERT="/etc/letsencrypt/live/$DOMAIN/fullchain.pem"
SSL_KEY="/etc/letsencrypt/live/$DOMAIN/privkey.pem"
fi
# 3. 配置 IP 白名单
echo "[3/6] 配置 IP 白名单..."
read -p "请输入允许访问的 IP 段(用空格分隔,如 192.168.1.0/24 10.0.0.0/8): " IP_WHITELIST
# 4. 创建 Nginx 配置
echo "[4/6] 创建 Nginx 配置..."
cat > /etc/nginx/sites-available/gemma-secure << EOF
# 限流区域定义
limit_req_zone \$binary_remote_addr zone=gemma_limit:10m rate=10r/s;
limit_conn_zone \$binary_remote_addr zone=gemma_conn:10m;
server {
listen 80;
server_name $DOMAIN;
return 301 https://\$server_name\$request_uri;
}
server {
listen 443 ssl http2;
server_name $DOMAIN;
ssl_certificate $SSL_CERT;
ssl_certificate_key $SSL_KEY;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512;
ssl_prefer_server_ciphers off;
# 安全头部
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
location / {
# IP 白名单
$(for ip in $IP_WHITELIST; do echo " allow $ip;"; done)
deny all;
# 频率限制
limit_req zone=gemma_limit burst=20 nodelay;
limit_conn gemma_conn 10;
# 代理设置
proxy_pass http://127.0.0.1:7860;
proxy_set_header Host \$host;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto \$scheme;
proxy_http_version 1.1;
proxy_set_header Upgrade \$http_upgrade;
proxy_set_header Connection "upgrade";
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 300s;
client_max_body_size 10M;
}
# 健康检查
location /health {
access_log off;
allow all;
proxy_pass http://127.0.0.1:7860;
proxy_read_timeout 2s;
return 200 '{"status": "healthy"}';
}
}
EOF
# 5. 启用配置
echo "[5/6] 启用 Nginx 配置..."
ln -sf /etc/nginx/sites-available/gemma-secure /etc/nginx/sites-enabled/
nginx -t && systemctl restart nginx
# 6. 配置防火墙(可选)
echo "[6/6] 配置防火墙..."
# 开放 80 和 443 端口
ufw allow 80/tcp
ufw allow 443/tcp
# 关闭 7860 端口的外部访问(只允许本地)
ufw deny 7860/tcp
echo ""
echo "=== 部署完成 ==="
echo "访问地址:https://$DOMAIN"
echo "IP 白名单:$IP_WHITELIST"
echo "管理命令:"
echo " - 查看 Nginx 状态:systemctl status nginx"
echo " - 查看访问日志:tail -f /var/log/nginx/access.log"
echo " - 重新加载配置:nginx -s reload"
保存为 gemma-security-setup.sh,然后运行:
chmod +x gemma-security-setup.sh
./gemma-security-setup.sh
配置完成后,需要进行全面测试,确保安全措施生效且不影响正常使用。
# 测试 HTTPS 访问
curl -k https://your-domain.com
# 测试健康检查端点
curl https://your-domain.com/health
# 测试从白名单内 IP 访问
# (应该能正常访问)
# 测试从白名单外 IP 访问
# (应该返回 403 错误)
创建一个测试脚本,模拟高频请求:
# test_rate_limit.py
import requests
import time
url = "https://your-domain.com"
headers = {"Content-Type": "application/json"}
# 测试正常频率
print("测试正常频率(1 秒 1 次)...")
for i in range(5):
response = requests.get(url, headers=headers, verify=False)
print(f"请求 {i+1}: 状态码 {response.status_code}")
time.sleep(1)
# 测试超过限制
print("\n测试高频请求(1 秒 20 次)...")
responses = []
for i in range(20):
response = requests.get(url, headers=headers, verify=False)
responses.append(response.status_code)
time.sleep(0.05) # 快速发送请求
print(f"状态码分布:{set(responses)}")
print("429 表示请求被限流")
运行测试:
python3 test_rate_limit.py
配置日志监控,及时发现异常:
# 实时监控访问日志
tail -f /var/log/nginx/gemma-secure-access.log
# 查看错误日志
tail -f /var/log/nginx/gemma-secure-error.log
# 统计访问情况
awk '{print $1}' /var/log/nginx/gemma-secure-access.log | sort | uniq -c | sort -nr
# 查看被拒绝的请求
grep " 403 " /var/log/nginx/gemma-secure-access.log
grep " 429 " /var/log/nginx/gemma-secure-access.log
安全措施可能会对性能有轻微影响,需要测试:
# 使用 ab 进行压力测试(安装 apache2-utils)
apt-get install -y apache2-utils
# 测试无安全措施的原始服务
ab -n 100 -c 10 http://localhost:7860/
# 测试有安全措施的 HTTPS 服务
ab -n 100 -c 10 https://your-domain.com/
# 对比结果,通常 HTTPS 会增加一些开销,但在可接受范围内
安全配置不是一劳永逸的,需要定期维护和监控。
证书更新(Let's Encrypt 证书 90 天过期):
# 手动更新证书
certbot renew
# 或设置自动更新(添加到 crontab)
echo "0 3 * * * certbot renew --quiet" >> /etc/crontab
IP 白名单更新:
#!/bin/bash
# update_whitelist.sh
NEW_IPS="203.0.113.100 203.0.113.101" # 新 IP 列表
# 备份原配置
cp /etc/nginx/sites-available/gemma-secure /etc/nginx/sites-available/gemma-secure.backup
# 更新配置
sed -i "/allow.*;/d" /etc/nginx/sites-available/gemma-secure
for ip in $NEW_IPS; do
sed -i "/location \/ {/a\ allow $ip;" /etc/nginx/sites-available/gemma-secure
done
# 重新加载
nginx -t && nginx -s reload
日志轮转:
# 配置日志轮转
cat > /etc/logrotate.d/nginx-gemma << EOF
/var/log/nginx/gemma-*.log {
daily
missingok
rotate 30
compress
delaycompress
notifempty
create 0640 www-data adm
sharedscripts
postrotate
[ -f /var/run/nginx.pid ] && kill -USR1 \`cat /var/run/nginx.pid\`
endscript
}
EOF
问题 1:HTTPS 证书错误
症状:浏览器显示"不安全连接"或证书错误
解决:
1. 检查证书路径是否正确
2. 确保证书文件可读:ls -la /etc/letsencrypt/live/your-domain.com/
3. 重新获取证书:certbot renew --force-renewal
问题 2:IP 白名单导致无法访问
症状:返回 403 错误,即使 IP 在白名单中
解决:
1. 检查 Nginx 配置中的 allow 语句
2. 确认客户端真实 IP(可能经过代理)
3. 查看 Nginx 错误日志:tail -f /var/log/nginx/error.log
4. 临时关闭白名单测试:注释掉 deny all 行
问题 3:频率限制太严格
症状:正常使用也经常收到 429 错误
解决:
1. 调整限流参数:增加 rate 值或 burst 值
2. 按用户区分限流策略
3. 对 API 端点和普通页面使用不同限制
问题 4:性能下降
症状:响应变慢,超时增加
解决:
1. 检查 Nginx 和 Gemma 服务资源使用:top, htop
2. 调整代理超时时间:proxy_read_timeout
3. 考虑增加服务器资源或负载均衡
问题 5:WebSocket 连接失败
症状:实时聊天功能无法使用
解决:
1. 确保 Nginx 配置包含 WebSocket 支持头
2. 检查 Gemma WebUI 的 WebSocket 配置
3. 测试直接连接 7860 端口是否正常
创建一个简单的监控脚本,定期检查服务状态:
#!/bin/bash
# monitor_gemma.sh
# 检查 Nginx 状态
NGINX_STATUS=$(systemctl is-active nginx)
if [ "$NGINX_STATUS" != "active" ]; then
echo "警告:Nginx 服务异常 - $NGINX_STATUS"
systemctl restart nginx
fi
# 检查 Gemma 服务
GEMMA_STATUS=$(curl -s -o /dev/null -w "%{http_code}" https://your-domain.com/health)
if [ "$GEMMA_STATUS" != "200" ]; then
echo "警告:Gemma 服务异常 - HTTP $GEMMA_STATUS"
/root/gemma-3-webui/manage.sh restart
fi
# 检查证书过期时间(如果使用 Let's Encrypt)
if [ -f "/etc/letsencrypt/live/your-domain.com/cert.pem" ]; then
EXPIRY_DATE=$(openssl x509 -enddate -noout -in /etc/letsencrypt/live/your-domain.com/cert.pem | cut -d= -f2)
EXPIRY_TS=$(date -d "$EXPIRY_DATE" +%s)
NOW_TS=$(date +%s)
DAYS_LEFT=$(( (EXPIRY_TS - NOW_TS) / 86400 ))
if [ $DAYS_LEFT -lt 7 ]; then
echo "警告:SSL 证书将在$DAYS_LEFT天后过期"
certbot renew
fi
fi
# 检查磁盘空间
DISK_USAGE=$(df -h / | awk 'NR==2 {print $5}' | sed 's/%//')
if [ $DISK_USAGE -gt 80 ]; then
echo "警告:磁盘使用率 $DISK_USAGE%"
fi
# 记录到日志
echo "$(date): 监控检查完成 - Nginx:$NGINX_STATUS Gemma:$GEMMA_STATUS 证书剩余:${DAYS_LEFT}天 磁盘:${DISK_USAGE}%" >> /var/log/gemma-monitor.log
添加到 crontab,每小时运行一次:
echo "0 * * * * /root/scripts/monitor_gemma.sh" >> /etc/crontab
通过本文的三层安全加固,你的 Gemma-3-12B-IT WebUI 现在拥有了企业级的安全防护:
第一层:HTTPS 加密传输
第二层:IP 白名单访问控制
第三层:请求频率限制
如果你需要更高级的安全特性,可以考虑:
安全是一个持续的过程,不是一次性的任务。建议你:
现在,你的 Gemma-3-12B-IT WebUI 已经从一个简单的聊天界面,变成了一个安全可靠的企业级 AI 服务平台。无论是个人使用、团队协作,还是对外提供有限服务,都有了坚实的安全基础。
记住,安全措施需要在安全性和可用性之间找到平衡。过于严格的安全策略可能影响正常使用,过于宽松则可能带来风险。根据你的实际需求,适当调整本文提供的配置,找到最适合你的平衡点。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online