OpenClaw 安全加固 / Lock Your AI Agent in a Vault

自托管 OpenClaw(或任何长期在线 AI agent)的实战安全加固清单与一键脚本——防火墙默认全拒、SSH 仅密钥、fail2ban 防暴破、OpenClaw 网关锁内网。三步把暴露面压到最低。

Install

openclaw skills install @kingaiwork/agent-vault-hardening

🔐 把 AI Agent 锁进铁桶(OpenClaw 自托管安全加固)

自托管 AI agent = 同时暴露 API + SSH。默认配置即高危:一次被扫就丢凭据、被拿去挖矿或发垃圾。本 skill 给你一套实战验证过、可复制的加固流程,三步把暴露面压到最低。

适用场景

  • 在 VPS / 家用服务器跑 OpenClaw、LangChain、AutoGPT 等任何长期在线的 agent。
  • 想"把安全做成白菜价可复制方案"——单台廉价 VPS 年付就能跑满整套加固。

底线三件套(必做)

  1. 防火墙默认全拒:只开你真要的端口(如 SSH、必要业务端口)。
  2. SSH 仅密钥 + 禁 root 登录 + 禁密码PasswordAuthentication no + PermitRootLogin no
  3. fail2ban 封暴破 IP:SSH 连续失败自动拉黑。

一键脚本

hardening.sh 会:备份现有配置 → 设防火墙默认拒绝并放行当前 IP/SSH → 关 SSH 密码与 root 登录 → 装并启用 fail2ban → 给出 OpenClaw 网关锁内网建议。

bash
sudo bash hardening.sh

⚠️ 防锁死提示:脚本会先放行你当前连接的 IP 再改防火墙;改 SSH 配置前请确认公钥已能登录(建议另开一个会话测试),避免把自己挡在门外。

OpenClaw 网关专项

  • 监听绑 127.0.0.1(不暴露公网);需远程访问走 SSH 隧道。
  • allowInsecureAuth: false;敏感工具(exec/process/fs)按最小权限收敛;外部动作走批准闸门。

进阶(可选)

  • 端口敲门(port knocking):用 knockd 隐藏真实 SSH 端口,例如序列 11223→22445→33667→44889→55101→55223
  • 自动更新 + 自动备份:cron/systemd 定时跑,失败自愈。

低成本真相

单台 VPS 年付就能跑满上面整套。把"安全"做成可复制方案,比事后救火便宜得多。


💻 RackNerd 高性价比主机:共享主机 $10.49/年、1GB KVM VPS $21.99/年 — https://my.racknerd.com/aff.php?aff=20179 📈 moomoo 美股/港股/加密货币交易,新户最高 $1000 赠金 — https://j.moomoo.com/0CrlDz

联系 King AI Workshttps://kingai.work/vip@kingai.work