请问下hermes可以直接装在主力电脑上吗
-
其实 Hermes Agent 装在主力电脑上也不是完全不行,但要做好几层防护:
-
权限隔离:不要给 Hermes root/管理员权限,用一个受限的 Linux 用户运行。这样就算它搞坏了什么,也不会影响系统核心。
-
数据备份:这个跟用不用 Hermes 没关系——主力电脑本来就应该定期备份重要数据。如果重要的东西都在备份里,Hermes 搞砸了也就是重装系统的事。
-
WSL2 确实能隔离:WSL2 跑在虚拟化层上,Hermes 的权限出不了 WSL 的虚拟机。数据不会自己上传到网上(除非你给了它能上网的工具又让它做上传操作)。
-
敏感信息管理:别把密码、API Key 明文写在配置文件里让 Hermes 随便读,可以用环境变量或者密钥管理工具。
总结:主力机装 Hermes 没问题,但别当"甩手掌柜"——给它权限前想清楚,重要数据先备份,出问题了也有退路。像 terry 说的,搞坏环境确实是经常事,但做好防护也就是重建环境的小麻烦,不会是数据灾难。
-
-
这关键要看你的“主力机”的电脑内容有多敏感。
如果你在wsl中配置了不自动挂载windows目录,且在/etc/wsl.conf中正确的配置了interop,那么理论上讲,只要你不给hermes root的权限,windows侧就比较安全。但反过来讲,你完全隔绝了Windows侧,你用wsl运行hermes的意义也就没了。(和运行在虚拟机、另一台linuxPC上没有任何区别)
除非你只是单纯的体验,可以这么做,否则完全吃力不讨好。
因为wsl并不是完全的Ubuntu系统,他缺失很多机制和控制手段(比如最简单的,wsl中你是不能靠TUN接管网络环境的) -
@ais 用 Linux 。安装的时候 新建一个账号。比如Hermes。在新建的账户下再安装。如果不放心 把快照开开。每天备份2次。 vps 价格涨的厉害。汗!建议本机折腾。
-
然后就是hermes相当于是给外界暴露一个一个攻击入口,比如他的message gateway,如果hermes有什么漏洞,攻击者有可能会拿到wsl的root权限,从而打开攻击你整台机器的大门。
当然,这就不是hermes本身的执行问题了,是系统安全问题。
@王一民 给hermes的进程一个专门用户, 设置成no shell, 应该能防止类似漏洞. 我记得2000年初的时候apache有一个chunk溢出, 用户在80上就能得到一个shell, 当初大部分网站的appache 用户都有shell, 甚至大部分都直接用root跑, 连提权都不用, 直接给了攻击者一个root的shell. 那时候几个大厂的机器我都这么进去过, 还拿了他们很多配置设置, 比如rc.local, httpd 和 sysctl 的config 等, 用来做优化参考 .
, 现在这种类似风险肯定小了, 但不能保证不会出现, 小心驶得万年船. -
@terry 我在1U1G的vps上测试过。用api接口算力。非常流畅。这说明对机器的配置其实没任何要求。卡顿等问题都是 算力提供方的问题。所以我又用 软路由 装了龙虾。依旧流畅。路由的配置是4U512M 路由的磁盘很小放外接U盘了。2.0的端口。 路由器的4U(指代4核心,习惯了) 平时的算力占用55% (单核速度1.8G的垃圾赛扬)上了龙虾 依旧不超过75% 512M的内存同样在附加了龙虾后压力不大正常工作。USB2.0的低速也运行平稳。所以我要表达的是一个根本性问题。马鞍是个固体。怎么搞都一样。大家的速度其实是马提供的。 3.0G速度的U 0.5个 内存256M 一样可以稳定的运行龙虾或Hermes。他俩都是马鞍。那个舒服你就坐那个。本地算力和你购买的算力才是速度的表现。
所以说随便找个位置放不是随便说说。是你真的可以随便找个位置。硬件需求几乎就是没有需求。实测的结果。
感谢我的分享。 -
@terry 我在1U1G的vps上测试过。用api接口算力。非常流畅。这说明对机器的配置其实没任何要求。卡顿等问题都是 算力提供方的问题。所以我又用 软路由 装了龙虾。依旧流畅。路由的配置是4U512M 路由的磁盘很小放外接U盘了。2.0的端口。 路由器的4U(指代4核心,习惯了) 平时的算力占用55% (单核速度1.8G的垃圾赛扬)上了龙虾 依旧不超过75% 512M的内存同样在附加了龙虾后压力不大正常工作。USB2.0的低速也运行平稳。所以我要表达的是一个根本性问题。马鞍是个固体。怎么搞都一样。大家的速度其实是马提供的。 3.0G速度的U 0.5个 内存256M 一样可以稳定的运行龙虾或Hermes。他俩都是马鞍。那个舒服你就坐那个。本地算力和你购买的算力才是速度的表现。
所以说随便找个位置放不是随便说说。是你真的可以随便找个位置。硬件需求几乎就是没有需求。实测的结果。
感谢我的分享。 -
@williamlouis 你没有执行浏览器任务的需求,但是不执行浏览器任务,agent的意义就大打折扣。
@terry 我一直让它自写,自改。你说的问题是我永远都是SSH 任务。浏览器这个还真是用不到。
-
@ais 我遇到过, hermes自己把自己的profile.yaml清空了。 不过没法重现, 就一次。
