OpenClaw远程访问安全吗 访问及使用OpenClaw的安全建议
脚本之家
本文档详细介绍了如何在轻量应用服务器LS上配置使用开源AI助手的安全提示,提示内容主要包括:
- 轻量服务器基线安全,主要包括SSH服务访问控制与认证等
- OpenClaw使用安全, 主要包括认证、服务开放、数据安全等方面的建议
特别提醒:OpenClaw属于私人智能助手,建议独自使用,或分享给内部团队使用,分享给不信任的个人或团体可能会带来不必要的经济损失与数据泄漏风险
OpenClaw部署的云主机基线安全
1、尽量使用云平台登录,避免使用远程登录,并且关闭远程22端口
在实例的【防火墙】设置22端口的访问源为 100.64.0.0/10,便只允许云平台的SmartTerm或者VNC登录
使用SmartTerm登录,选择内网连接
2、使用强密码(如15位以上,字母、数字、其他字符组合的密码),或者证书登录
使用证书登录设置方法
- 步骤一:生成证书,默认生成在 /root/.ssh/ 目录下,私钥 id_rsa,公钥 id_rsa.pub
root@ls-KCH9cIEY:~# ssh-keygen -t rsa -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa Your public key has been saved in /root/.ssh/id_rsa.pub The key fingerprint is: SHA256:J1qnpRl/5w53EJooGz93mGG7uCTO2ohFko2Z4JvqwN0 root@ls-KCH9cIEY The key's randomart image is: +---[RSA 4096]----+ | | | | | . . | | . . * . o . | | . * o S = = . | |. .o.o o / . = . | |..o. Eo * = B + .| |.. o = o = B . | |o. . o.+ o...o | +----[SHA256]-----+
- 步骤二:配置公钥,将 id_rsa.pub 添加到 authorized_keys 中
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
- 步骤三:使用私钥远程登录
# 将上述生成的id_rsa放到本地 .ssh/id_rsa 并配置权限为 600(chmod 600 .ssh/id_rsa) ssh root@x.x.x.x 或者 ssh -i .ssh/id_rsa root@x.x.x.x
也可以使用SmartTerm通过私钥登录,将上面生成的 id_rsa 的内容复制到密钥框
- 步骤四:关闭密码登录
sudo vim /etc/ssh/sshd_config PasswordAuthentication no
- 步骤五:重启 ssh 服务
service ssh restart
OpenClaw使用安全建议
1、OpenClaw Gateway认证token:建议使用默认生成的、不要自行修改避免弱口令风险
2、OpenClaw Gateway端口:非必要不通过公网EIP暴露,如果对外暴露,建议在防火墙上设置访问源IP白名单,同时务必管理好自己的token、避免泄露
- 步骤一:找到轻量服务器的防火墙配置
- 步骤二:维护规则列表,新建或者编辑现有规则
- 步骤三:设置访问源IP白名单,将您的访问源IP填写到【来源】选项中
3、OpenClaw对接IM(钉钉、飞书等等)的bot:建议只自己访问、或授权给可信的团队内人员访问
4、OpenClaw安装Skills:请谨慎安装、使用外部社区/个人发布的Skills,以预防信息泄露或服务器被攻击等风险
5.部署OpenClaw所在的云主机(轻量应用服务器):建议仅用于OpenClaw服务运行,不在其上留存OpenClaw必要配置之外的任何数据/文件
6、安全防护能力:建议开启云安全中心标准版或以上的防护版本,具备云主机环境后门、病毒查杀等基础安全防护能力
- 步骤一:购买标准版及以上版本
- 步骤二:到云安全中心的客户端安装选项下,复制客户端安装命令,然后到轻量服务器上运行安装命令
