openclaw-secure-linux-cloud

openclaw-secure-linux-cloud

當您在雲端伺服器上自行託管 OpenClaw、強化遠端 OpenClaw 閘道、在 SSH 隧道、Tailscale 或反向代理暴露之間做選擇,或檢視 Podman、配對、沙箱、令牌驗證及工具權限預設值以確保安全個人部署時使用。

65星標
6分支
更新於 2026/6/14
SKILL.md
readonlyread-only
name
openclaw-secure-linux-cloud
description

當您在雲端伺服器上自行託管 OpenClaw、強化遠端 OpenClaw 閘道、在 SSH 隧道、Tailscale 或反向代理暴露之間做選擇,或檢視 Podman、配對、沙箱、令牌驗證及工具權限預設值以確保安全個人部署時使用。

概述

使用此技能來實行 OpenClaw 在雲端伺服器上的保守「先部署,後暴露」模式。

預設採用私有控制平面:

  • 在暴露任何東西之前先強化 Linux 主機。
  • 將閘道綁定到 127.0.0.1
  • 先透過 SSH 隧道存取控制 UI。
  • 保持令牌驗證、配對和沙箱啟用。
  • 從狹窄的工具設定檔開始,只有在明確需要時才放寬。

此技能適用於安全的 Linux 雲端託管。如果使用者只想要在本地機器上進行最快的通用 OpenClaw 安裝,請優先參考官方 OpenClaw 入門文件,而不是強制使用此流程。

當您需要指令矩陣、基準設定形狀、檢查清單或存取路徑比較時,請開啟 references/REFERENCE.md

使用時機

當使用者提及以下任何內容時使用此技能:

  • 在雲端伺服器、VM 或其他 Linux 主機上的 OpenClaw
  • 安全自行託管、強化或「私下執行」
  • Podman、迴路綁定、SSH 隧道或遠端控制 UI 存取
  • 用於 OpenClaw 的 Tailscale 與反向代理
  • 配對、沙箱、令牌驗證或鎖定的工具權限
  • 檢視現有 OpenClaw 主機是否過度暴露

請勿將此技能用於:

  • 沒有 OpenClaw 元件的通用 Linux 強化
  • 與遠端存取無關的本地單機入門
  • 沒有遠端主機強化問題的純本地入門
  • 非 Linux 託管,除非使用者明確希望採用此 Linux 優先模式

工作流程

1. 分類請求

在提供詳細指導之前,將任務歸入以下類別之一:

  1. 全新部署:使用者希望從頭開始在 Linux 雲端主機上安全地建立 OpenClaw。
  2. 強化審查:使用者已有 OpenClaw 在執行,並希望減少暴露或審查有風險的預設值。
  3. 存取模式決策:使用者正在 SSH 隧道、Tailscale 或反向代理之間做選擇。

2. 從安全基準開始

除非使用者明確要求其他內容,否則建議以下基準:

  • 首先強化 Linux 主機:更新、SSH 金鑰、SSH 鎖定以及與發行版匹配的預設拒絕入站防火牆。
  • 在無根 Podman 下執行 OpenClaw,而不是作為 root 擁有的長期執行程序。
  • 僅將閘道保留在迴路介面上。
  • 保持控制 UI 私有,並透過 SSH 隧道存取。
  • 要求令牌驗證。
  • 保持配對啟用以用於入站訊息通道。
  • 從最小的工具集開始,並預設對工作階段進行沙箱處理。

將以下情況視為明確的危險信號:

  • 將閘道綁定到 0.0.0.0
  • 將連接埠 18789 開放到公共網際網路
  • 預設開啟廣泛的執行時期、檔案系統、自動化或瀏覽器存取
  • ~/.openclaw 可被其他本地使用者讀取

3. 區分本地和伺服器操作

始終區分:

  • 本地機器操作:SSH 金鑰生成、隧道設定、瀏覽器存取
  • 伺服器操作:Linux 強化、Podman 安裝路徑、OpenClaw 服務設定、設定權限、服務重新啟動

不要將兩個執行上下文混在一起。使用者應該能夠分辨哪些指令在他們的筆記型電腦上執行,哪些在 Linux 主機上執行。

4. 僅詢問關鍵事實

僅在缺少會改變安全路徑的事實時才停下來詢問,例如:

  • 當套件管理器或防火牆指令很重要時的 Linux 發行版和主機存取詳細資訊
  • OpenClaw 是否已安裝
  • 使用者是否真的需要重複的遠端私有存取或公共存取
  • 現有部署是否已可從網際網路存取

如果某個細節不影響安全,則做出合理的安全假設並說明。

5. 使用存取升級階梯

按以下順序建議遠端存取:

  1. SSH 隧道:首次部署和個人使用的預設選項
  2. Tailscale:當使用者需要在受信任裝置上進行重複私有存取時的下一步
  3. 反向代理:僅在使用者明確需要公共暴露並接受額外強化負擔時

如果使用者要求 Tailscale 或反向代理,仍然解釋為什麼迴路綁定和私有優先模型仍然是基準。

輸出期望

對於全新部署,提供:

  • 簡短的架構摘要
  • 本地與伺服器步驟
  • 保守的設定基準
  • 啟動前檢查清單
  • 簡短的「不要暴露什麼」警告

對於強化審查,提供:

  • 當前設定中的可能風險
  • 優先順序的修復順序
  • 任何需要立即修復的暴露問題

對於存取路徑決策,提供:

  • 建議
  • 為什麼這是風險最低的選擇
  • 如果使用者選擇更廣泛的暴露模型,需要哪些額外安全措施

常見錯誤

  • 第一天就將 OpenClaw 視為普通的公共 Web 應用程式
  • 認為僅靠驗證就能取代網路邊界
  • 在使用者有明確需要的工作流程之前就開啟更多工具權限
  • 為了在早期設定中節省時間而停用配對
  • 在更改設定或沙箱設定後跳過後續審計

參考資料使用

當您需要以下內容時,請使用 references/REFERENCE.md

  • 跨發行版強化流程和 Debian/Ubuntu 範例指令
  • 基於 Podman 的 OpenClaw 設定大綱
  • 基準設定骨架
  • 啟動前檢查清單
  • 日常審計指令
  • SSH 隧道與 Tailscale 與反向代理的比較