1. 项目概述为你的AI助手穿上“防弹衣”如果你正在服务器上运行OpenClaw或者大家更熟悉的Clawdbot并且隐隐约约觉得“这玩意儿能直接操作我的服务器是不是有点危险”那么你的直觉是对的。默认配置下的OpenClaw就像把自家大门的钥匙放在门垫下面还顺便把门牌号贴在了网上。这个名为“OpenClaw Hardening Kit”的项目就是一套专门为OpenClaw部署环境打造的“安全加固与成本优化”工具箱。它不是教你从零开始搭建而是针对你已经跑起来的、那个“裸奔”的AI助手进行一系列生产级别的加固手术。简单来说这个工具包解决了两个核心痛点安全和成本。安全方面它通过脚本自动化检查并修复诸如SSH弱密码、防火墙大开、API密钥明文存储等致命漏洞将你的服务器从“人人可试”的测试环境加固成一个只认密钥、严防死守的生产堡垒。成本方面它提供了一套精细的模型路由策略让你价格昂贵的Claude Opus模型只用在刀刃上主对话而让更便宜的Sonnet模型去处理心跳检查、子代理等后台任务预计能直接砍掉30%-50%的API调用费用。对于任何将OpenClaw部署在公网VPS或云服务器上的开发者、创业者或是重度AI工具使用者来说这套方案都是让项目从“玩具”走向“工具”的必经之路。2. 核心风险与加固思路拆解在开始动手之前我们必须彻底理解我们面对的究竟是什么风险。OpenClaw官方文档自己也承认让一个拥有Shell访问权限的AI代理运行在你的机器上是一件“很刺激”的事情。这种刺激主要来源于以下几个默认配置下的安全盲区。2.1 默认配置下的四大安全漏洞第一也是最重要的是SSH服务的脆弱性。绝大多数VPS的默认SSH配置允许密码登录并且使用22端口。这意味着你的服务器IP和22端口暴露在公网上会持续遭受全球扫描器的暴力破解攻击。即使你设置了复杂密码在自动化工具面前也只是时间问题。第二OpenClaw Gateway网关的暴露。Gateway是OpenClaw与前端如Web界面通信的接口。默认情况下它可能监听在所有网络接口上0.0.0.0这意味着任何知道你服务器IP和端口的人都可能尝试直接与你的AI助手建立连接绕过前端认证。第三敏感信息的明文存储。你的各类API密钥Anthropic、OpenAI等、服务器凭证很可能以明文形式存储在配置文件或环境变量中。一旦服务器被入侵或者配置文件权限设置不当被读取这些密钥将瞬间泄露。第四缺乏基础的入侵防御。没有防火墙意味着所有端口默认开放探听没有fail2ban这类工具意味着对SSH的暴力破解尝试不会受到任何惩罚攻击者可以无限次尝试。2.2 本工具包的加固哲学纵深防御这个加固工具包没有追求所谓的“绝对安全”——那在互联网世界是不存在的。它遵循的是“纵深防御”原则即建立多层防线即使一层被突破还有其他层进行保护。具体来说它构建了四道核心防线网络层防线UFW使用Uncomplicated Firewall只放行绝对必要的端口如SSH拒绝所有其他入站连接从最外层过滤掉大量噪音和攻击。访问层防线SSH加固 fail2ban将SSH端口改为非标准端口彻底禁用密码登录仅允许密钥认证并配合fail2ban监控日志对多次失败的登录尝试进行临时封禁。通道层防线Tailscale用Tailscale构建一个加密的私有网络。你不再需要将SSH或Gateway端口暴露在公网只需通过Tailscale建立的“虚拟内网”进行访问极大缩小了攻击面。应用层防线OpenClaw配置优化收紧Gateway的绑定地址确保其只监听本地或Tailscale虚拟网卡审查并加固技能Skills的权限。这套组合拳下来你的服务器从“门户大开”变成了一个“只对持有特定钥匙SSH密钥 Tailscale节点并且知道特定小门非标准端口私有网络的人开放”的堡垒。3. 安全加固实操全流程理论讲完我们进入实战环节。请确保你在一个已有的、稳定的SSH连接中操作并且提前打开了另一个终端窗口或标签页以备测试。整个加固过程是不可逆的尤其是修改SSH端口和禁用密码登录一旦操作失误且没有备用连接你将可能被锁在服务器外面。3.1 前期准备与安全审计首先我们将工具包克隆到服务器上。建议在用户主目录或/opt目录下操作。cd ~ git clone https://github.com/jzOcb/openclaw-hardening.git cd openclaw-hardening在动任何刀子之前先做一次全面的“体检”。运行安全审计脚本它会生成一份当前服务器安全状况的报告。bash security/audit.sh这个脚本会进行9项检查。你需要仔细阅读输出结果。例如如果看到“SSH Password Authentication: ENABLED (CRITICAL)”或“Open ports: 22, 3000, 8080 (Gateway exposed?)”就明确指出了风险点。这个审计报告是你加固前的基线务必做到心中有数。重要提示审计脚本audit.sh通常只读不写是安全的。但请务必确认你克隆的是官方仓库避免恶意脚本。3.2 一键硬化脚本详解与执行核心步骤是运行交互式的一键硬化脚本。它每一步都会请求你的确认请务必读懂提示再输入y。sudo bash security/harden.sh让我们拆解这个脚本具体做了什么以及你需要注意什么步骤一配置UFW防火墙脚本会首先检查UFW状态。如果未安装它会尝试安装。然后它会清空所有现有规则并设置默认策略为拒绝所有入站deny incoming允许所有出站allow outgoing。接着它会询问你当前的SSH端口默认为22并为该端口添加允许规则。这意味着除了你指定的SSH端口所有其他入站连接包括HTTP、Gateway端口等都将被防火墙直接丢弃。操作意图将服务器的暴露面降到最低仅保留唯一的SSH管理通道。注意事项如果你在服务器上运行了Web服务如博客、仪表盘需要在此步骤后手动添加放行规则例如sudo ufw allow 80/tcp。但就OpenClaw安全而言我们后续通过Tailscale访问因此不需要开放额外公网端口。步骤二硬化SSH配置这是最关键也最危险的一步。脚本会备份你的/etc/ssh/sshd_config文件然后进行以下修改更改SSH端口它会建议你换一个1024-65535之间的非标准端口如2222。这能避开针对22端口的自动化扫描。禁用密码认证将PasswordAuthentication设置为no。此后只能使用SSH密钥登录。禁止Root用户直接登录将PermitRootLogin设置为no或prohibit-password。即使有密钥也不允许以root身份直接登录必须先以普通用户登录再su或sudo。限制认证重试次数设置MaxAuthTries为一个较低的值如3次。致命风险点在执行这一步之前你必须确保当前用于登录的SSH密钥对已经正确添加到服务器的~/.ssh/authorized_keys文件中并且你在另一个终端窗口测试用新端口和密钥登录成功。如果密钥未配置或配置错误脚本执行后你将永久失去连接。测试命令在另一个终端中ssh -p 新端口 你的用户名服务器IP -i ~/.ssh/你的私钥如果这个命令能成功登录才能继续。步骤三安装并配置fail2banfail2ban会监控系统日志如/var/log/auth.log当发现同一个IP在短时间内有多次失败的登录尝试如SSH密码错误就会自动调用防火墙如UFW将该IP封禁一段时间。 脚本会安装fail2ban并创建一个针对SSH的监狱jail配置例如设置最大重试次数为3封禁时间为1小时。操作意图为SSH服务增加动态防御自动惩罚恶意扫描和暴力破解行为。注意事项请确保你设置的bantime封禁时间不是永久性的避免自己因误操作被锁。1-24小时是合理的范围。步骤四安装并配置TailscaleTailscale是一个基于WireGuard的零配置组网工具。脚本会引导你安装Tailscale客户端并提示你通过提供的链接进行认证将你的服务器和你的个人设备电脑、手机加入同一个安全的私有网络。 完成后你的服务器会获得一个Tailscale分配的私有IP如100.x.x.x。此后你可以通过这个私有IP和**原来的SSH端口22**来连接服务器而无需再将SSH端口暴露在公网。操作意图彻底移除SSH和OpenClaw Gateway的公网暴露需求所有管理流量都在加密的私有网络内进行安全性极大提升。关键配置脚本可能会修改OpenClaw Gateway的配置模板建议其绑定到Tailscale的IP地址上这样Gateway服务也只在这个私有网络内可访问。完成所有步骤后脚本会提示你重启SSH服务以使配置生效。务必在重启后立即用另一个终端通过新配置新端口密钥或Tailscale IP旧端口测试连接确认无误后再关闭最初的原始连接会话。4. OpenClaw应用层配置优化服务器层面加固后我们需要对OpenClaw本身进行安全性和经济性配置。这里主要涉及两个配置文件openclaw-secure.json5和token-optimization.json5。你不需要完全替换原有配置而是应该像“打补丁”一样将安全相关的选项合并到你现有的~/.openclaw/openclaw.json中。4.1 网关安全配置首先处理Gateway的安全暴露问题。查看config/openclaw-secure.json5模板核心是bind地址{ gateway: { // 关键安全设置仅绑定到本地回环或Tailscale网络接口 bind: 127.0.0.1:3000, // 或 100.xx.xx.xx:3000 (你的Tailscale IP) auth: { mode: session, // 确保启用会话认证 } } }bind: “127.0.0.1:3000”这是最安全的做法Gateway只允许本机进程访问。你需要通过一个反向代理如Nginx、Caddy来对外提供服务并在反向代理上配置HTTPS和强密码/令牌认证。bind: “100.xx.xx.xx:3000”如果你使用Tailscale可以绑定到Tailscale的虚拟IP上。这样只有同样在Tailscale网络内的设备才能直接访问Gateway的3000端口。绝对避免bind: “0.0.0.0:3000”。这会让Gateway监听在所有网络接口上暴露在公网。操作上建议使用jq工具或手动编辑将上述gateway部分合并到你的主配置文件中。完成后重启OpenClaw Gateway服务。4.2 令牌成本优化配置这是直接帮你省钱的配置。OpenClaw默认所有任务都使用同一个模型如果你设的是Claude Opus那么连每55分钟一次的“心跳”检查、每次触发的子代理subagent都会消耗昂贵的Opus令牌。优化思路是模型分层主对话使用能力最强的模型如Claude Opus保证核心交互质量。后台任务使用性价比高的模型如Claude Sonnet处理心跳、子代理、工具调用等。将config/token-optimization.json5的内容合并到你的配置中{ agents: { defaults: { // 主代理使用Opus model: { primary: anthropic/claude-opus-4-5 }, // 子代理默认使用Sonnet成本立降80% subagents: { model: anthropic/claude-sonnet-4-5 }, // 心跳间隔设为55分钟略小于1小时以保持缓存温暖 heartbeat: { every: 55m }, // 自动修剪上下文移除1小时前的工具输出节省令牌 contextPruning: { mode: cache-ttl, ttl: 1h }, } } }生效与验证合并配置并重启OpenClaw后新的对话会话将自动应用这些规则。你可以在聊天中通过/model命令查看当前可用模型并通过/model sonnet手动切换。但根据上述配置子代理等任务会自动路由到Sonnet。观察你的API用量账单。理想情况下你会发现来自“心跳”和大量工具调用的高额Opus费用消失了取而代之的是廉价的Sonnet费用。根据任务类型的不同总体API成本下降30%-50%是完全可能的。5. 技能生态的审计与安全安装OpenClaw的强大离不开丰富的技能Skills但第三方技能也可能带来安全风险比如一个拥有shell执行权限的技能如果代码有恶意逻辑后果不堪设想。因此对技能的审计和管理至关重要。5.1 使用技能审计工具项目推荐了一个名为skills-audit的技能它本身就是用来检查其他技能安全性的。在安装任何新技能前尤其是那些需要高权限如文件读写、网络访问、shell执行的技能都应该先进行审计。你可以通过OpenClaw聊天界面安装并运行它安装技能skills-audit 运行技能/audit-skills或者使用项目提供的批量安装脚本会包含skills-auditbash setup/install-skills.sh审计报告通常会检查技能来源GitHub仓库、所需权限、代码中是否存在明显的危险模式如未经验证的用户输入直接拼接成Shell命令。你需要仔细阅读审计结果对于高风险技能除非你完全信任其作者并理解其代码否则应避免安装。5.2 谨慎管理技能权限OpenClaw的技能权限系统是最后一道应用防线。在安装技能时系统会提示你授予其特定权限如read_files,write_files,shell等。请遵循最小权限原则只授予必要的权限一个只需要读取日志的技能绝不授予write_files或shell权限。理解权限范围read_files和write_files通常有作用域限制但shell权限是最高级别的等同于给AI代理赋予了当前用户的全部命令行能力。定期审查定期使用/skills命令查看已安装技能及其权限移除不再使用或可疑的技能。项目提供的install-skills.sh脚本安装的是一套经过社区初步验证的、相对可靠的高价值技能组合涵盖了安全、运维、金融、搜索、工具等多个类别可以作为你技能生态的启动基础包。但即便如此在将其用于生产环境或处理敏感数据前仍建议你逐一审查。6. 加固后运维与故障排查完成所有加固后你的OpenClaw环境已经脱胎换骨。但日常运维和问题排查的方式也发生了一些变化这里记录几个关键场景和解决方法。6.1 如何访问服务器这是加固后最常遇到的问题。原先你可能通过公网IP和22端口直接SSH现在有两种更安全的方式通过Tailscale网络访问推荐在你的个人电脑上确保Tailscale客户端已登录且与服务器在同一网络。使用服务器在Tailscale中的私有IP通常是100.x.x.x进行连接。命令ssh 用户名tailscale-ip。注意此时连接的是原来的SSH端口通常是22因为harden.sh脚本修改的是公网SSH配置Tailscale网络内的连接不受那个非标准端口限制除非你也专门改了。通过公网非标准端口访问备用如果你临时需要从一台未安装Tailscale的设备访问并且记得harden.sh时设置的非标准端口比如2222。命令ssh -p 2222 用户名公网-ip -i /path/to/private_key。重要这种方式依然暴露在公网但比默认的22端口安全且配合了密钥认证和fail2ban。6.2 常见问题与解决方案速查表问题现象可能原因排查步骤与解决方案SSH连接被拒绝Connection refused1. SSH服务未运行。2. 防火墙UFW阻止了端口。3. 连接的端口号错误。1. 通过VPS控制台的“救援模式”或“VNC控制台”登录检查。2. 在控制台运行sudo systemctl status ssh查看状态。3. 运行sudo ufw status numbered查看防火墙规则确认你的SSH端口公网或Tailscale被允许。4. 确认你使用的IP和端口号是否正确公网IP非标端口或Tailscale IP22端口。SSH连接超时1. 服务器IP地址错误。2. 本地网络或服务器网络问题。3. Tailscale节点未连通。1. 用ping命令测试服务器IP公网IP或Tailscale IP是否可达。2. 检查本地防火墙是否放行了SSH流量。3. 在服务器上运行tailscale status查看节点是否在线且为“Active”。在本地设备上也运行此命令确认两端已配对。无法访问OpenClaw Web界面1. Gateway服务未运行或崩溃。2. Gateway绑定地址错误未监听在预期接口上。3. 本地浏览器无法访问Tailscale网络内的IP。1. 在服务器上运行systemctl status openclaw-gateway或类似服务名检查状态查看日志journalctl -u openclaw-gateway。2. 确认openclaw.json中gateway.bind的IP是否正确例如127.0.0.1或Tailscale IP。3. 如果你绑定的是127.0.0.1需要在服务器本地通过SSH隧道访问ssh -L 3000:localhost:3000 userserver然后浏览器访问http://localhost:3000。4. 如果你绑定的是Tailscale IP确保你的浏览器所在的设备也加入了同一个Tailscale网络。fail2ban误封了自己的IP在配置新SSH密钥时多次输错密码触发fail2ban规则。1. 通过VPS控制台登录服务器。2. 解封自己的IPsudo fail2ban-client set sshd unbanip 你的IP。3. 可以考虑将你自己的静态IP添加到fail2ban的“ignoreip”列表/etc/fail2ban/jail.local中避免再次误封。API调用费用未明显下降令牌优化配置未生效或主对话以外的任务仍在使用昂贵模型。1. 确认openclaw.json配置已正确合并并重启服务。2. 在OpenClaw聊天中检查当前会话的模型设置输入/model查看。3. 开启OpenClaw的详细日志观察子代理subagent任务发起时使用的模型是否是配置的Sonnet。4. 检查你的API供应商账单后台区分不同模型Opus vs Sonnet的调用次数和费用。6.3 日常维护建议定期更新定期运行系统更新sudo apt update sudo apt upgrade以及更新OpenClaw本体和技能。安全漏洞往往通过更新来修补。监控日志习惯性查看关键日志如/var/log/auth.logSSH登录记录、/var/log/fail2ban.log封禁记录以及OpenClaw自身的日志可以早期发现异常行为。备份配置在每次对SSH配置/etc/ssh/sshd_config、防火墙规则或OpenClaw主配置进行重大修改前先进行备份。harden.sh脚本已经做了备份但自己养成手动备份的习惯更保险。测试恢复流程在最开始就模拟一次“被锁在外面”的恢复流程。知道如何通过云服务商的控制台VNC、救援模式登录服务器并恢复SSH配置。这能让你在真正出问题时从容不迫。这套加固方案不是一劳永逸的银弹而是一个将安全意识和最佳实践融入日常运维的起点。它显著提升了攻击门槛将常见自动化攻击挡在门外让你能更安心地利用OpenClaw这个强大的AI助手来自动化你的工作流。记住安全是一个持续的过程保持警惕定期审查你的数字堡垒才会真正稳固。