OpenClaw 服务器安全与安装

概述

本指南指导如何安全地搭建一个自托管的 OpenClaw 实例。内容涵盖 SSH 加固、防火墙配置、Tailscale VPN 设置以及 OpenClaw 本身的安装。

工作流程

第一阶段：系统加固

1. 锁定 SSH

   

   • 目标：仅允许密钥登录，禁用密码登录，禁止 root 用户直接登录。
   • 操作：修改/etc/ssh/sshd_config文件。
   • 命令：

     # Backup config
     sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
     # Disable Password Auth
     sudo sed -i 's/^#*PasswordAuthentication .*/PasswordAuthentication no/' /etc/ssh/sshd_config
     # Disable Root Login
     sudo sed -i 's/^#*PermitRootLogin .*/PermitRootLogin no/' /etc/ssh/sshd_config
     # Reload SSH
     sudo sshd -t && sudo systemctl reload ssh
     

2. 默认拒绝防火墙

   • 目标：默认阻止所有入站连接。
   • 操作：安装并启用 UFW。
   • 命令：

     sudo apt update && sudo apt install ufw -y
     sudo ufw default deny incoming
     sudo ufw default allow outgoing
     sudo ufw enable
     

     注意：如果在其他接口上尚未允许 SSH 连接，请在启用防火墙前确保拥有控制台访问权限或备用方案，不过我们接下来会配置 Tailscale。

3. 暴力破解防护

   • 目标：在登录尝试失败后自动封禁 IP 地址。
   • 操作：安装 Fail2ban。
   • 命令：

     sudo apt install fail2ban -y
     sudo systemctl enable --now fail2ban
     

第二阶段：网络隐私（Tailscale）

4. 安装 Tailscale

   • 目标：创建一个私有的 VPN 网状网络。
   • 命令：

     curl -fsSL https://tailscale.com/install.sh | sh
     sudo tailscale up
     

   • 等待用户认证 Tailscale 链接。

5. 通过 Tailscale 配置 SSH 和 Web 访问

   • 目标：仅允许来自 Tailscale 子网（100.64.0.0/10）的流量，并移除公共访问权限。
   • 命令：

     # Allow SSH over Tailscale
     sudo ufw allow from 100.64.0.0/10 to any port 22 proto tcp
     # Remove public SSH access (Adjust rule name/number as needed)
     sudo ufw delete allow OpenSSH || sudo ufw delete allow 22/tcp
     # Allow Web ports over Tailscale
     sudo ufw allow from 100.64.0.0/10 to any port 443 proto tcp
     sudo ufw allow from 100.64.0.0/10 to any port 80 proto tcp
     

6. 禁用 IPv6（可选）

   • 目标：减少攻击面。
   • 命令：

     sudo sed -i 's/IPV6=yes/IPV6=no/' /etc/default/ufw
     if ! grep -q "net.ipv6.conf.all.disable_ipv6 = 1" /etc/sysctl.conf; then
       echo "net.ipv6.conf.all.disable_ipv6 = 1" | sudo tee -a /etc/sysctl.conf
     fi
     sudo sysctl -p && sudo ufw reload
     

第三阶段：安装 OpenClaw

7. 安装 OpenClaw

   • 命令：

     npm install -g openclaw && openclaw doctor
     

8. 配置所有者访问权限

   • 所需输入：向用户询问其Telegram ID。
   • 操作：更新配置，仅将该 ID 加入允许列表。
   • JSON 配置文件目标（通过openclaw doctor保护凭证

     { 
       "dmPolicy": "allowlist", 
       "allowFrom": ["YOUR_TELEGRAM_ID"], 
       "groupPolicy": "allowlist" 
     }
     

9. 目标：限制文件权限。

   • 命令：
   • 最终审计

     chmod 700 ~/.openclaw/credentials 2>/dev/null || true
     chmod 600 .env 2>/dev/null || true
     

10. 操作：运行内置安全审计。

    • 命令：
    • 验证状态

      openclaw security audit --deep
      

运行以确认：

Run to confirm:

sudo ufw status verbose
ss -tulnp
tailscale status
openclaw doctor