openclaw-server-secure-skill — OpenClaw 服务器安全技能

Name: openclaw-server-secure-skill — OpenClaw 服务器安全技能
Rating: 1

v1.0.0

针对OpenClaw（前身为Clawdbot/Moltbot）的综合安全加固和安装指南。当用户想要安全服务器、安装OpenClaw代理或为代理配置Tailscale/Firewall时，使用此技能。

1· 3.6k·0 当前·0 累计

by @kime541200·MIT-0

开发工具代码生成数据与API 数据库 AI模型访问

下载技能包

License

MIT-0

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install openclaw-server-secure-skill

镜像加速npx clawhub@latest install openclaw-server-secure-skill --registry https://cn.longxiaskill.com 镜像可用

需要定制？告诉我你的需求 →

技能文档

OpenClaw 服务器安全与安装概述本技能指导设置一个安全的、自托管的 OpenClaw 实例。它涵盖了 SSH 加固、防火墙配置、Tailscale VPN 设置和 OpenClaw 安装本身。

工作流程阶段 1：系统加固锁定 SSH 目标：仅使用密钥，无密码，无 root 登录。操作：修改 /etc/ssh/sshd_config。命令： # 备份配置 sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # 禁用密码认证 sudo sed -i 's/^#PasswordAuthentication ./PasswordAuthentication no/' /etc/ssh/sshd_config # 禁用 root 登录 sudo sed -i 's/^#PermitRootLogin ./PermitRootLogin no/' /etc/ssh/sshd_config # 重载 SSH sudo sshd -t && sudo systemctl reload ssh

默认拒绝防火墙目标：默认阻止所有入站流量。操作：安装和启用 UFW。命令： sudo apt update && sudo apt install ufw -y sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw enable 注意：确保您有控制台访问或备用方案，在启用 UFW 之前，如果 SSH 尚未在其他接口上允许，尽管我们稍后会配置 Tailscale。

暴力破解保护目标：自动封禁 IP 地址，在登录尝试失败后。操作：安装 Fail2ban。命令： sudo apt install fail2ban -y sudo systemctl enable --now fail2ban

阶段 2：网络隐私（Tailscale）安装 Tailscale 目标：创建一个私有的 VPN 网络。命令： curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up 等待用户验证 Tailscale 链接。

配置 SSH 和 Web 通过 Tailscale 目标：仅允许来自 Tailscale 子网（100.64.0.0/10）的流量，并删除公共访问。命令： # 允许通过 Tailscale 的 SSH sudo ufw allow from 100.64.0.0/10 to any port 22 proto tcp # 删除公共 SSH 访问（根据需要调整规则名称/编号） sudo ufw delete allow OpenSSH || sudo ufw delete allow 22/tcp # 允许通过 Tailscale 的 Web 端口 sudo ufw allow from 100.64.0.0/10 to any port 443 proto tcp sudo ufw allow from 100.64.0.0/10 to any port 80 proto tcp

禁用 IPv6（可选）目标：减少攻击面。命令： sudo sed -i 's/IPV6=yes/IPV6=no/' /etc/default/ufw if ! grep -q "net.ipv6.conf.all.disable_ipv6 = 1" /etc/sysctl.conf; then echo "net.ipv6.conf.all.disable_ipv6 = 1" | sudo tee -a /etc/sysctl.conf fi sudo sysctl -p && sudo ufw reload

阶段 3：OpenClaw 安装安装 OpenClaw 命令： npm install -g openclaw && openclaw doctor

配置所有者访问所需输入：询问用户的 Telegram ID。操作：更新配置以仅允许该 ID。 JSON 配置目标（通过 openclaw doctor 验证位置）： { "dmPolicy": "allowlist", "allowFrom": ["YOUR_TELEGRAM_ID"], "groupPolicy": "allowlist" }

安全凭据目标：限制文件权限。命令： chmod 700 ~/.openclaw/credentials 2>/dev/null || true chmod 600 .env 2>/dev/null || true

最终审计操作：运行内置的安全审计。命令：openclaw security audit --deep

验证状态运行以确认： sudo ufw status verbose ss -tulnp tailscale status openclaw doctor

License

运行时依赖

安装命令

技能文档

相关技能推荐