SKILL.md
readonlyread-only
name
openclaw-secure-linux-cloud
description
當您在雲端伺服器上自行託管 OpenClaw、強化遠端 OpenClaw 閘道、在 SSH 隧道、Tailscale 或反向代理暴露之間做選擇,或檢視 Podman、配對、沙箱、令牌驗證及工具權限預設值以確保安全個人部署時使用。
概述
使用此技能來實行 OpenClaw 在雲端伺服器上的保守「先部署,後暴露」模式。
預設採用私有控制平面:
- 在暴露任何東西之前先強化 Linux 主機。
- 將閘道綁定到
127.0.0.1。 - 先透過 SSH 隧道存取控制 UI。
- 保持令牌驗證、配對和沙箱啟用。
- 從狹窄的工具設定檔開始,只有在明確需要時才放寬。
此技能適用於安全的 Linux 雲端託管。如果使用者只想要在本地機器上進行最快的通用 OpenClaw 安裝,請優先參考官方 OpenClaw 入門文件,而不是強制使用此流程。
當您需要指令矩陣、基準設定形狀、檢查清單或存取路徑比較時,請開啟 references/REFERENCE.md。
使用時機
當使用者提及以下任何內容時使用此技能:
- 在雲端伺服器、VM 或其他 Linux 主機上的 OpenClaw
- 安全自行託管、強化或「私下執行」
- Podman、迴路綁定、SSH 隧道或遠端控制 UI 存取
- 用於 OpenClaw 的 Tailscale 與反向代理
- 配對、沙箱、令牌驗證或鎖定的工具權限
- 檢視現有 OpenClaw 主機是否過度暴露
請勿將此技能用於:
- 沒有 OpenClaw 元件的通用 Linux 強化
- 與遠端存取無關的本地單機入門
- 沒有遠端主機強化問題的純本地入門
- 非 Linux 託管,除非使用者明確希望採用此 Linux 優先模式
工作流程
1. 分類請求
在提供詳細指導之前,將任務歸入以下類別之一:
- 全新部署:使用者希望從頭開始在 Linux 雲端主機上安全地建立 OpenClaw。
- 強化審查:使用者已有 OpenClaw 在執行,並希望減少暴露或審查有風險的預設值。
- 存取模式決策:使用者正在 SSH 隧道、Tailscale 或反向代理之間做選擇。
2. 從安全基準開始
除非使用者明確要求其他內容,否則建議以下基準:
- 首先強化 Linux 主機:更新、SSH 金鑰、SSH 鎖定以及與發行版匹配的預設拒絕入站防火牆。
- 在無根 Podman 下執行 OpenClaw,而不是作為 root 擁有的長期執行程序。
- 僅將閘道保留在迴路介面上。
- 保持控制 UI 私有,並透過 SSH 隧道存取。
- 要求令牌驗證。
- 保持配對啟用以用於入站訊息通道。
- 從最小的工具集開始,並預設對工作階段進行沙箱處理。
將以下情況視為明確的危險信號:
- 將閘道綁定到
0.0.0.0 - 將連接埠
18789開放到公共網際網路 - 預設開啟廣泛的執行時期、檔案系統、自動化或瀏覽器存取
- 讓
~/.openclaw可被其他本地使用者讀取
3. 區分本地和伺服器操作
始終區分:
- 本地機器操作:SSH 金鑰生成、隧道設定、瀏覽器存取
- 伺服器操作:Linux 強化、Podman 安裝路徑、OpenClaw 服務設定、設定權限、服務重新啟動
不要將兩個執行上下文混在一起。使用者應該能夠分辨哪些指令在他們的筆記型電腦上執行,哪些在 Linux 主機上執行。
4. 僅詢問關鍵事實
僅在缺少會改變安全路徑的事實時才停下來詢問,例如:
- 當套件管理器或防火牆指令很重要時的 Linux 發行版和主機存取詳細資訊
- OpenClaw 是否已安裝
- 使用者是否真的需要重複的遠端私有存取或公共存取
- 現有部署是否已可從網際網路存取
如果某個細節不影響安全,則做出合理的安全假設並說明。
5. 使用存取升級階梯
按以下順序建議遠端存取:
- SSH 隧道:首次部署和個人使用的預設選項
- Tailscale:當使用者需要在受信任裝置上進行重複私有存取時的下一步
- 反向代理:僅在使用者明確需要公共暴露並接受額外強化負擔時
如果使用者要求 Tailscale 或反向代理,仍然解釋為什麼迴路綁定和私有優先模型仍然是基準。
輸出期望
對於全新部署,提供:
- 簡短的架構摘要
- 本地與伺服器步驟
- 保守的設定基準
- 啟動前檢查清單
- 簡短的「不要暴露什麼」警告
對於強化審查,提供:
- 當前設定中的可能風險
- 優先順序的修復順序
- 任何需要立即修復的暴露問題
對於存取路徑決策,提供:
- 建議
- 為什麼這是風險最低的選擇
- 如果使用者選擇更廣泛的暴露模型,需要哪些額外安全措施
常見錯誤
- 第一天就將 OpenClaw 視為普通的公共 Web 應用程式
- 認為僅靠驗證就能取代網路邊界
- 在使用者有明確需要的工作流程之前就開啟更多工具權限
- 為了在早期設定中節省時間而停用配對
- 在更改設定或沙箱設定後跳過後續審計
參考資料使用
當您需要以下內容時,請使用 references/REFERENCE.md:
- 跨發行版強化流程和 Debian/Ubuntu 範例指令
- 基於 Podman 的 OpenClaw 設定大綱
- 基準設定骨架
- 啟動前檢查清單
- 日常審計指令
- SSH 隧道與 Tailscale 與反向代理的比較






