GLM-Image保姆级部署：SELinux/AppArmor策略适配+非root用户安全启动

GLM-Image保姆级部署：SELinux/AppArmor策略适配+非root用户安全启动

1. 项目概述

GLM-Image是由智谱AI开发的高质量文本到图像生成模型，本教程将详细介绍如何在生产环境中安全部署其Web交互界面。我们将重点解决两个关键问题：

1. 在启用SELinux/AppArmor的安全环境中正确配置策略
2. 以非root用户身份安全运行服务

这个基于Gradio构建的Web界面让用户能够轻松生成高质量的AI图像，支持512x512到2048x2048分辨率，推荐使用24GB以上显存的GPU设备。

2. 环境准备

2.1 系统要求

• 操作系统：Ubuntu 20.04/22.04 LTS（推荐）
• Python：3.8+
• CUDA：11.8+
• 显存：24GB+（使用CPU Offload可降低要求）
• 硬盘空间：50GB+可用空间

2.2 基础依赖安装

# 安装基础工具 sudo apt update && sudo apt install -y \ git \ wget \ curl \ unzip \ python3-pip \ python3-venv

3. 安全部署方案

3.1 创建专用系统用户

# 创建专用用户组和用户 sudo groupadd --system ai_service sudo useradd --system --gid ai_service --shell /bin/false --home-dir /opt/glm-image glmuser

3.2 目录权限配置

# 创建项目目录并设置权限 sudo mkdir -p /opt/glm-image/{cache,outputs} sudo chown -R glmuser:ai_service /opt/glm-image sudo chmod 750 /opt/glm-image

4. SELinux策略配置

4.1 检查SELinux状态

# 查看SELinux状态 sestatus # 如果处于Enforcing模式，需要配置策略 sudo setenforce 0 # 临时设置为Permissive模式

4.2 创建自定义策略模块

# 生成策略模块 cat > glm_image.te <<EOF module glm_image 1.0; require { type user_home_t; type httpd_t; type tmpfs_t; class file { read write execute create unlink }; class dir { read write search add_name remove_name }; } allow httpd_t user_home_t:dir { search }; allow httpd_t user_home_t:file { read write }; allow httpd_t tmpfs_t:file { read write }; EOF # 编译并加载策略 checkmodule -M -m -o glm_image.mod glm_image.te semodule_package -o glm_image.pp -m glm_image.mod sudo semodule -i glm_image.pp

5. AppArmor策略配置

5.1 创建AppArmor配置文件

sudo nano /etc/apparmor.d/opt.glm-image

添加以下内容：

#include <tunables/global> /opt/glm-image/** { #include <abstractions/base> #include <abstractions/python> /opt/glm-image/** rw, /tmp/** rw, /dev/nvidia* rw, /sys/devices/pci[0-9]*/** r, # 网络访问 network inet, network inet6, }

5.2 加载并启用策略

sudo apparmor_parser -r /etc/apparmor.d/opt.glm-image sudo aa-enforce /opt/glm-image

6. 非root用户部署

6.1 安装Python虚拟环境

sudo -u glmuser python3 -m venv /opt/glm-image/venv sudo -u glmuser /opt/glm-image/venv/bin/pip install --upgrade pip

6.2 安装项目依赖

sudo -u glmuser /opt/glm-image/venv/bin/pip install \ torch==2.0.1 \ gradio==3.39.0 \ transformers==4.31.0 \ diffusers==0.19.0

6.3 创建启动脚本

sudo nano /opt/glm-image/start.sh

添加以下内容：

#!/bin/bash export HF_HOME=/opt/glm-image/cache/huggingface export HUGGINGFACE_HUB_CACHE=$HF_HOME/hub export TORCH_HOME=/opt/glm-image/cache/torch export HF_ENDPOINT=https://hf-mirror.com cd /opt/glm-image source venv/bin/activate python webui.py --port 7860 --listen

设置执行权限：

sudo chmod +x /opt/glm-image/start.sh sudo chown glmuser:ai_service /opt/glm-image/start.sh

7. 系统服务配置

7.1 创建systemd服务

sudo nano /etc/systemd/system/glm-image.service

添加以下内容：

[Unit] Description=GLM-Image WebUI After=network.target [Service] User=glmuser Group=ai_service WorkingDirectory=/opt/glm-image Environment="PATH=/opt/glm-image/venv/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" ExecStart=/opt/glm-image/start.sh Restart=always RestartSec=30 [Install] WantedBy=multi-user.target

7.2 启动并启用服务

sudo systemctl daemon-reload sudo systemctl enable --now glm-image.service

8. 验证与测试

8.1 检查服务状态

sudo systemctl status glm-image.service

8.2 测试Web访问

curl -I http://localhost:7860

8.3 安全审计

# 检查SELinux日志 sudo ausearch -m avc -ts recent # 检查AppArmor日志 sudo journalctl -u apparmor --no-pager | grep DENIED

9. 总结

通过本教程，我们完成了GLM-Image模型的安全部署，主要实现了：

1. 安全策略适配：配置了SELinux和AppArmor策略，确保服务在安全环境中正常运行
2. 非root运行：创建专用系统用户，降低安全风险
3. 系统服务化：通过systemd管理服务，实现自动重启和日志管理
4. 权限最小化：遵循最小权限原则，严格控制文件和网络访问

这种部署方式特别适合企业生产环境，在保证安全性的同时提供稳定的AI图像生成服务。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。