ClawSkills logoClawSkills

openclaw-server-secure-skill

OpenClaw(前身为 Clawdbot/Moltbot)的综合安全加固和安装指南。当用户想要保护服务器、安装

访问网站

介绍

# OpenClaw Server Security & Installation

## 概述 本技能指南引导您设置一个安全的、自托管的 OpenClaw 实例。它涵盖 SSH 加固、防火墙配置、Tailscale VPN 设置以及 OpenClaw 本身的安装。

## 工作流程

### 第一阶段:系统加固

1. **锁定 SSH** - 目标:仅限密钥,禁止密码,禁止 root 登录。 - 操作:修改 `/etc/ssh/sshd_config`。 - 命令: ```bash # Backup config sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # Disable Password Auth sudo sed -i 's/^#*PasswordAuthentication .*/PasswordAuthentication no/' /etc/ssh/sshd_config # Disable Root Login sudo sed -i 's/^#*PermitRootLogin .*/PermitRootLogin no/' /etc/ssh/sshd_config # Reload SSH sudo sshd -t && sudo systemctl reload ssh ```

2. **默认拒绝防火墙** - 目标:默认阻止所有传入流量。 - 操作:安装并启用 UFW。 - 命令: ```bash sudo apt update && sudo apt install ufw -y sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw enable ``` *注意:如果在其他接口上尚未允许 SSH,请在启用前确保您拥有控制台访问权限或备用方案,尽管我们接下来会配置 Tailscale。*

3. **暴力破解防护** - 目标:在登录尝试失败后自动封禁 IP。 - 操作:安装 Fail2ban。 - 命令: ```bash sudo apt install fail2ban -y sudo systemctl enable --now fail2ban ```

### 第二阶段:网络隐私

4. **安装 Tailscale** - 目标:创建一个私有 VPN 网状网络。 - 命令: ```bash curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up ``` - *等待用户验证 Tailscale 链接。*

5. **通过 Tailscale 配置 SSH 和 Web** - 目标:仅允许来自 Tailscale 子网 (100.64.0.0/10) 的流量,并移除公共访问权限。 - 命令: ```bash # Allow SSH over Tailscale sudo ufw allow from 100.64.0.0/10 to any port 22 proto tcp # Remove public SSH access (Adjust rule name/number as needed) sudo ufw delete allow OpenSSH || sudo ufw delete allow 22/tcp # Allow Web ports over Tailscale sudo ufw allow from 100.64.0.0/10 to any port 443 proto tcp sudo ufw allow from 100.64.0.0/10 to any port 80 proto tcp ```

6. **禁用 IPv6(可选)** - 目标:减少攻击面。 - 命令: ```bash sudo sed -i 's/IPV6=yes/IPV6=no/' /etc/default/ufw if ! grep -q "net.ipv6.conf.all.disable_ipv6 = 1" /etc/sysctl.conf; then echo "net.ipv6.conf.all.disable_ipv6 = 1" | sudo tee -a /etc/sysctl.conf fi sudo sysctl -p && sudo ufw reload ```

### 第三阶段:OpenClaw 安装

7. **安装 OpenClaw** - 命令: ```bash npm install -g openclaw && openclaw doctor ```

8. **配置所有者访问权限** - **必需输入:** 询问用户的 **Telegram ID**。 - 操作:更新配置以仅将该 ID 加入白名单。 - JSON 配置目标(通过 `openclaw doctor` 验证位置): ```json { "dmPolicy": "allowlist", "allowFrom": ["YOUR_TELEGRAM_ID"], "groupPolicy": "allowlist" } ```

9. **保护凭据** - 目标:限制文件权限。 - 命令: ```bash chmod 700 ~/.openclaw/credentials 2>/dev/null || true chmod 600 .env 2>/dev/null || true ```

10. **最终审计** - 操作:运行内置安全审计。 - 命令: ```bash openclaw security audit --deep ```

## 验证状态 运行以下命令进行确认: ```bash sudo ufw status verbose ss -tulnp tailscale status openclaw doctor ```

返回

更多产品

Obsidian

安全与密码

使用 Obsidian vault(纯 Markdown 笔记)并通过 obsidian-cli 自动化。

10.8K

Mcporter

安全与密码

使用 mcporter CLI 直接(HTTP 或 stdio)列出、配置、认证和调用 MCP 服务器/工具,包括临时服务器、配置编辑以及 CLI/类型生成

9.7K

YouTube

安全与密码

使用托管 OAuth 集成 YouTube Data API。搜索视频、管理播放列表、访问频道数据并与评论互动。当用户想要

8.5K