介绍
# OpenClaw Hardener
此技能提供了一个**用户可控**的加固工具,可以:
- 运行 OpenClaw 内置的安全审计(`openclaw security audit --deep` / `--fix`)。 - 运行工作区卫生检查(执行位、游离的 `.env`、不安全的序列化模式等)。 - **仅在明确请求时**应用安全机械修复。 - 生成(并可选应用)一个 **Gateway `config.patch` 计划**以收紧运行时策略。
## 运行工具
脚本: - `skills_live/openclaw-hardener/scripts/hardener.py`
示例:
```bash # Read-only checks (recommended default) python3 skills_live/openclaw-hardener/scripts/hardener.py check --all
# Only run OpenClaw built-in audit (deep) python3 skills_live/openclaw-hardener/scripts/hardener.py check --openclaw
# Only run workspace checks python3 skills_live/openclaw-hardener/scripts/hardener.py check --workspace
# Apply safe fixes (chmod/exec-bit cleanup + optionally openclaw audit --fix) python3 skills_live/openclaw-hardener/scripts/hardener.py fix --all
# Generate a config.patch plan (prints JSON5 patch) python3 skills_live/openclaw-hardener/scripts/hardener.py plan-config
# Apply the plan (requires a running gateway; uses `openclaw gateway call`) python3 skills_live/openclaw-hardener/scripts/hardener.py apply-config ```
## 设计规则(请勿违反)
- **默认 = 仅检查。** 除非用户运行 `fix` 或 `apply-config`,否则不更改文件/配置。 - **输出中不包含密钥。** 如果检查读取敏感路径,必须编辑掉可能的令牌。 - **补丁计划必须明确。** 在应用补丁前始终展示补丁内容。
## 检查 / 修复的内容
### OpenClaw 内置安全审计 - 运行 `openclaw security audit --deep`(以及在修复模式下运行 `--fix`)。
### 工作区卫生检查(范围:workspace + ~/.openclaw) - `~/.openclaw` 下的权限合理性检查(基本检查)。 - 非可执行文件类型中意外的执行位。 - 游离的 `.env` 文件(警告)和已跟踪的 `.env`(失败)。 - 脚本中有风险的反序列化 / 不安全模式(启发式检查)。
### 配置加固(可选计划) 生成一个保守的 `config.patch` 模板,重点在于: - 收紧入站访问默认值(配对/白名单、提及门控),**仅在您选择启用时**。 - 确保敏感日志脱敏已启用。
(具体键取决于您的配置;该计划仅为尽力而为,应加以审查。)