核心内容摘要
《男生困困到女生困困里》:甜宠升级,心动预警!
ClawdbotQwen3:32B企业级部署Nginx反向代理HTTPSBasic Auth三层安全加固方案
为什么需要三层安全加固Clawdbot 是一个统一的AI 代理网关与管理平台旨在为开发者提供一个直观的界面来构建、部署和监控自主 AI 代理。
通过集成的聊天界面、多模型支持和强大的扩展系统Clawdbot 让 AI 代理的管理变得简单高效。
但当你把这样一个功能强大的平台部署在公网环境时问题就来了默认的本地访问方式如http://localhost:3000没有任何防护机制直接暴露 Ollama 的 API 地址http://
127.
0.
1:11434/v1意味着任何人都可能绕过前端直连后端大模型服务而像?tokencsdn这样的 URL 参数式认证既不安全也不符合企业级访问规范。
更现实的问题是——你不会希望自己的 Qwen3:32B 模型被外部随意调用消耗显存、拖慢响应甚至被用于生成违规内容。
尤其当它运行在 24G 显存的 GPU 实例上时一次恶意批量请求就可能导致服务不可用。
所以真正的生产部署不能只停留在“能跑起来”而要回答三个关键问题外部用户如何安全地访问前端界面如何防止未授权用户直连后端模型 API如何让整个通信过程具备身份验证、加密传输和访问控制能力答案就是Nginx 反向代理 HTTPS Basic Auth 三层叠加防护。
这不是炫技而是把一道敞开的玻璃门换成带指纹锁、防弹玻璃和门禁记录的智能入口。
这三层不是简单堆砌而是环环相扣Nginx 做流量入口和路径分发隐藏真实服务地址HTTPS 加密所有传输数据防止 token 和对话内容被中间人窃取Basic Auth 在最外层拦截非法访问连登录页面都看不到更别说调用 API。
接下来我会带你一步步完成这套方案的落地——不讲抽象概念只给可复制、可验证、可运维的实操步骤。
环境准备与服务启动
1 基础依赖确认确保你的服务器已安装以下组件以 Ubuntu
2
04 为例DockerClawdbot 官方推荐容器化部署Ollamav
0.
0已预装 qwen3:32b 模型Nginxv
18系统源或官方 repo 安装即可Certbot用于自动申请 HTTPS 证书你可以用以下命令快速检查# 检查 Docker 和 Ollama docker --version ollama --version # 检查 Nginx 是否运行 sudo systemctl is-active nginx # 检查 Certbot certbot --version注意Clawdbot 默认监听localhost:3000Ollama 默认监听localhost:11434。
二者都不对外暴露端口这是安全前提。
所有公网访问必须经由 Nginx 统一入口。
2 启动 Clawdbot 与 Ollama 服务Clawdbot 提供了开箱即用的启动命令。
请在项目根目录执行# 启动网关Clawdbot 服务 clawdbot onboard该命令会自动拉起前端服务Node.js、内部代理服务并连接本地 Ollama。
启动成功后你会看到类似日志✔ Clawdbot server started on http://localhost:3000 ✔ Connected to Ollama at http://
127.
0.
1:11434 ✔ Model qwen3:32b loaded and ready此时你在本机浏览器打开http://localhost:3000可正常访问但切勿直接将 3000 或 11434 端口映射到公网。
同时请确认 Ollama 已加载qwen3:32b模型ollama list # 应输出包含 # qwen3:32b latest b9a5c6e7f1d2
3
4 GB如果尚未拉取运行ollama pull qwen3:32b即可。
注意该模型在 24G 显存下可运行但建议预留至少 4G 显存余量保障稳定性。
3 域名与 DNS 准备HTTPS 必须绑定有效域名。
你需要一个已解析到当前服务器 IP 的二级域名例如ai.yourcompany.comclawdbot.example.netgateway.myai.dev在 DNS 控制台中添加一条 A 记录指向你的服务器公网 IP。
等待 DNS 生效通常几分钟内再进行下一步。
小贴士开发测试阶段可用nip.io免费临时域名如ai.
123.
45.
67.
nip.ioCertbot 支持自动验证。
Nginx 反向代理配置详解
1 创建独立配置文件不要修改/etc/nginx/sites-enabled/default而是新建一个专用配置sudo nano /etc/nginx/conf.d/clawdbot.conf填入以下内容请将ai.yourcompany.com替换为你的真实域名upstream clawdbot_backend { server
127.
0.
1:3000; } upstream ollama_api { server
127.
0.
1:11434; } server { listen 80; server_name ai.yourcompany.com; # 强制跳转 HTTPS return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name ai.yourcompany.com; # SSL 证书路径由 Certbot 自动配置 ssl_certificate /etc/letsencrypt/live/ai.yourcompany.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/ai.yourcompany.com/privkey.pem; # SSL 安全增强推荐 ssl_protocols TLSv
2 TLSv
3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # 静态资源缓存 location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ { expires 1y; add_header Cache-Control public, immutable; } # 前端主应用Clawdbot UI location / { proxy_pass http://clawdbot_backend; proxy_http_version
1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_cache_bypass $http_upgrade; } # 仅允许通过 /api 路径访问 Ollama关键 location /api/ { auth_basic Clawdbot Admin Access; auth_basic_user_file /etc/nginx/.htpasswd; proxy_pass http://ollama_api/; proxy_http_version
1; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_redirect off; # 防止跨域滥用仅允许来自本域的请求 add_header Access-Control-Allow-Origin https://ai.yourcompany.com always; add_header Access-Control-Allow-Methods GET, POST, OPTIONS, PUT, DELETE always; add_header Access-Control-Allow-Headers DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,Authorization always; add_header Access-Control-Expose-Headers Content-Length,Content-Range always; } # 健康检查接口供监控使用 location /healthz { return 200 OK; add_header Content-Type text/plain; } }这个配置做了四件关键事双 upstream 分离clawdbot_backend指向前端ollama_api指向模型 API物理隔离HTTP → HTTPS 强制跳转所有明文请求自动升级前端/全量代理用户访问https://ai.yourcompany.com/即进入 Clawdbot 界面API 接口/api/单独设防必须通过 Basic Auth 才能访问且只放行指定 Origin。
2 生成 Basic Auth 用户凭证Nginx 使用 Apache 风格的.htpasswd文件做基础认证。
生成管理员账号# 安装工具Ubuntu sudo apt install -y apache2-utils # 创建密码文件首次运行用 -c 参数 sudo htpasswd -c /etc/nginx/.htpasswd admin # 输入两次密码例如ClwD3v2024 # 输出admin:$apr1$abc
..已加密你也可以添加多个用户sudo htpasswd /etc/nginx/.htpasswd devuser
3 测试并重载 Nginx检查语法是否正确sudo nginx -t若输出syntax is ok则重载配置sudo systemctl reload nginx此时访问http://ai.yourcompany.com会自动跳转至https://ai.yourcompany.com并弹出用户名/密码输入框——说明 Basic Auth 已生效。
HTTPS 证书自动签发与续期
1 使用 Certbot 获取免费证书安装 Certbot 并运行sudo apt install -y certbot python3-certbot-nginx sudo certbot --nginx -d ai.yourcompany.com按提示操作Certbot 会自动验证域名所有权通过 HTTP 挑战申请 Let’s Encrypt 证书修改 Nginx 配置注入证书路径设置自动续期定时任务systemctl list-timers | grep certbot可查。
成功后你会看到Congratulations! Your certificate and chain have been saved.
2 手动验证 HTTPS 是否生效打开浏览器访问https://ai.yourcompany.com地址栏应显示绿色锁图标点击可查看证书详情颁发者为 “Let’s Encrypt”。
同时在终端用 curl 验证curl -I https://ai.yourcompany.com # 应返回 HTTP/2 200且包含 Server: nginx 字样
3 验证 API 路径受保护尝试直接访问 Ollama 原生 API应被拦截curl http://ai.yourcompany.com/api/tags # 返回 401 Unauthorized带上 Basic Auth 头再试需 Base64 编码admin:ClwD3v2024echo -n admin:ClwD3v2024 | base64 # 输出YWRtaW46Q0xAZ0QzdjIwMjQ curl -H Authorization: Basic YWRtaW46Q0xAZ0QzdjIwMjQ \ https://ai.yourcompany.com/api/tags # 正常返回 JSON 列表含 qwen3:32b这证明只有带合法凭证的请求才能穿透 Nginx 访问到 Ollama。
Clawdbot 前端适配与 Token 安全改造
1 修改 Clawdbot 的 API 基地址Clawdbot 默认从http://localhost:11434/v1调用模型但在 Nginx 代理后它必须改用/api/路径。
编辑 Clawdbot 的配置文件通常为config.json或环境变量{ my-ollama: { baseUrl: https://ai.yourcompany.com/api, apiKey: ollama, api: openai-completions, models: [ { id: qwen3:32b, name: Production Qwen3 32B, reasoning: false, input: [text], contextWindow: 32000, maxTokens: 4096, cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 } } ] } }关键变化baseUrl从http://
127.
0.
1:11434/v1→https://ai.yourcompany.com/api移除/v1后缀因 Nginx 的location /api/已自动补全重启 Clawdbot 使配置生效。
2 彻底弃用 URL Token启用 Header 认证原始方案中?tokencsdn是严重安全隐患URL 会被浏览器历史、代理日志、CDN 缓存等明文记录。
我们必须将其升级为标准 Header 认证。
在 Clawdbot 的前端代码中如src/services/api.ts找到请求拦截器添加 Authorization 头// 示例Axios 请求拦截器 axios.interceptors.request.use((config) { const token localStorage.getItem(clawdbot_token) || ollama; config.headers.Authorization Bearer ${token}; return config; });后端Clawdbot 网关层需验证该 Bearer Token。
若你使用的是开源版 Clawdbot可在其路由中间件中加入// 伪代码示意 app.use(/api/, (req, res, next) { const auth req.headers.authorization; if (!auth || !auth.startsWith(Bearer )) { return res.status(
.json({ error: Missing or invalid Bearer token }); } const token auth.split( )[1]; if (token ! ollama) { // 实际应对接 Redis 或 JWT 校验 return res.status(
.json({ error: Invalid token }); } next(); });此时https://ai.yourcompany.com/?tokencsdn已完全失效所有 API 调用必须携带Authorization: Bearer ollama。
3 登录流程重构可选但推荐为提升体验可将 Basic Auth 与前端登录融合用户首次访问https://ai.yourcompany.com输入 Nginx 层账号adminClawdbot 前端检测到认证成功后自动设置localStorage.clawdbot_token ollama后续所有模型请求自动携带该 token管理员可在 Clawdbot 控制台中管理子账号、分配模型权限需定制开发。
这样用户只需一次登录无需记忆两套凭证。
安全加固效果验证与日常运维
1 三层防护效果自检清单防护层验证方式预期结果不通过说明Nginx 反向代理curl -I http://ai.yourcompany.com返回301 Moved Permanently未启用 HTTP→HTTPS 跳转HTTPS 加密浏览器访问点击地址栏锁图标显示“连接安全”证书由 Let’s Encrypt 颁发证书过期或配置错误Basic Auth直接访问https://ai.yourcompany.com弹出用户名/密码框认证未启用或 .htpasswd 路径错误API 路径隔离curl https://ai.yourcompany.com/api/tags返回401 Unauthorizedlocation /api/ 未生效或未加 auth_basicToken Header 认证curl -H Authorization: Bearer ollama https://ai.yourcompany.com/api/tags返回 200 JSON后端未校验 Authorization 头全部通过即表示三层加固已就绪。
2 日常运维建议证书续期Certbot 默认每周日凌晨 2 点自动续期无需人工干预。
可手动测试sudo certbot renew --dry-run。
日志审计Nginx 访问日志/var/log/nginx/clawdbot.access.log记录所有请求重点关注 401/403 状态码识别异常扫描。
模型热更新当需切换至更大显存的 Qwen 新模型如 qwen3:72b时只需在 Ollama 中ollama pullClawdbot 配置中更新 model id 即可无需重启 Nginx。
性能监控建议部署 Prometheus Grafana采集 Nginx 连接数、Ollama GPU 显存占用、Clawdbot 响应延迟等指标。