云信AI部署

Linux系统DeepSeek安装后的安全审计

云信安装大师
90
AI 质量分
2 5 月, 2025
2 分钟阅读
0 阅读

Linux系统DeepSeek安装后的安全审计指南

引言

DeepSeek作为一款强大的AI工具,在Linux系统上安装后需要进行全面的安全审计,以确保系统不会被恶意利用。本文将详细介绍如何对安装DeepSeek后的Linux系统进行全面的安全检查,涵盖用户权限、网络配置、文件权限等多个方面。

准备工作

在开始安全审计前,请确保:
– 已安装DeepSeek并正常运行
– 拥有root或sudo权限
– 基本的Linux命令行操作知识

1. 用户和权限审计

1.1 检查DeepSeek运行用户

代码片段 
# 查看DeepSeek进程的运行用户
ps aux | grep deepseek

输出示例

代码片段 
deepseek  1234  0.5  2.1 1023456 54321 ?      Sl   10:00   0:05 /usr/bin/deepseek

注意事项
– DeepSeek应该使用专用用户运行,而不是root
– 如果发现以root运行,应立即更改

1.2 创建专用用户(如尚未创建)

代码片段 
# 创建deepseek专用用户和组
sudo groupadd deepseek
sudo useradd -r -g deepseek -s /bin/false deepseek

# 更改DeepSeek文件所有权
sudo chown -R deepseek:deepseek /opt/deepseek/

1.3 检查sudo权限

代码片段 
# 查看哪些用户可以执行sudo命令
sudo grep -Po '^sudo.+:\K.*$' /etc/group

# 或者使用更详细的查看方式
sudo visudo -c && sudo cat /etc/sudoers | grep -v "^#"

安全建议
– DeepSeek用户不应有sudo权限
– sudo权限应仅限于必要的管理员账户

2. 文件和目录权限审计

2.1 DeepSeek安装目录权限检查

代码片段 
# 检查DeepSeek主目录权限
ls -ld /opt/deepseek/

# 递归检查所有文件和子目录权限
find /opt/deepseek/ -exec ls -ld {} \;

理想权限设置
– 目录:750 (drwxr-x—)
– 可执行文件:750 (-rwxr-x—)
– 配置文件:640 (-rw-r—–)

2.2 修复不当权限示例

代码片段 
# 设置正确的目录权限
sudo find /opt/deepseek/ -type d -exec chmod 750 {} \;

# 设置正确的文件权限(保留可执行位)
sudo find /opt/deepseek/ -type f -exec chmod u=rw,g=r,o= {} \;
sudo find /opt/deepseek/bin/ -type f -exec chmod u=rwx,g=rx,o= {} \;

3. SSH安全配置审计

即使DeepSeek不直接使用SSH,保持SSH安全也很重要。

3.1 SSH基本安全检查

代码片段 
# SSH配置文件检查
cat /etc/ssh/sshd_config | grep -v "^#" | grep -v "^$"

重点关注以下配置项:

代码片段 
PermitRootLogin no          #禁止root直接登录
PasswordAuthentication no   #禁用密码认证,仅用密钥登录
AllowUsers yourusername     #只允许特定用户登录
Port your_custom_port       #修改默认22端口(可选)

SSH最佳实践命令:

代码片段 
#备份原始配置文件
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

#应用新的安全设置(根据实际情况调整)
echo "PermitRootLogin no" | sudo tee -a /etc/ssh/sshd_config > /dev/null 
echo "PasswordAuthentication no" | sudo tee -a /etc/ssh/sshd_config > /dev/null 

#重启SSH服务使更改生效(根据发行版选择适当命令)
sudo systemctl restart sshd   #Ubuntu/Debian等systemd系统 
#或 sudo service ssh restart #旧版系统

4.网络连接和端口审计

4.1检查开放端口

代码片段 
#使用netstat查看所有监听端口 
sudo netstat -tulnp 

#或者使用更现代的ss命令 
sudo ss -tulnp

4.2 DeepSeek相关端口检查

假设DeepSeek默认使用8000端口:

代码片段 
lsof-i:8000

安全建议
•仅开放必要的端口到外部网络
•考虑使用防火墙限制访问IP范围

5.SELinux或AppArmor配置

5.1 SELinux状态检查

代码片段 
sestatus

如果启用:

代码片段 
#为DeepSeek创建SELinux策略模块可能需要专业配置 
semodule-l|grepdeepseek

5.2 AppArmor状态检查

代码片段 
aa-status

如果启用:

代码片段 
ls/etc/apparmor.d/*deepseek*

6.日志监控设置

6.1配置日志轮转

编辑或创建日志轮转配置:

代码片段 
sudonano/etc/logrotate.d/deepseek

添加以下内容:

代码片段 
/var/log/deepseek/*log{
    daily missingok rotate7 compress delaycompress notifempty create640deepseeksyslog sharedscripts postrotate killall-HUPdeepseekeendscript }

7.定期安全检查自动化脚本示例创建一个定期运行的自动安全检查脚本:

代码片段 
sudonano/etc/cron.daily/deepseek-security-check.sh

添加以下内容:

sh#!/bin/bash LOG_FILE="/var/log/deepseek-security-audit.log" echo"======$(date)======">>$LOG_FILE echo"User audit:" >>$LOG_FILE psaux|grepdeepseek>>$LOG_FILE echo-e"\nFile permissions audit:" >>$LOG_FILE find/opt/deepsearch/-typed-execls-ld{}\;>>$LOG_FILE echo-e"\nOpen ports audit:" >>$LOG_FILE ss-tulnp|grep-i deepsearch>>$LOG_FILE

然后设置可执行权限: bash sudocmod+x/etc/cron.daily/deepsearch-security-check.sh

总结通过以上步骤,您可以完成对安装DeepSearch后的Linux系统的全面安全审计。关键点回顾:1.DedicatedUser:确保DeepSearch以非root专用用户运行2.MinimalPermissions:遵循最小权限原则3.NetworkSecurity:限制不必要的网络暴露4.Logging:建立完善的日志记录机制5.Automation:设置定期自动安全检查建议至少每月执行一次完整的安全审计,特别是在更新DeepSearch版本后。

原创 高质量