ShellWard 安全部署指南

当用户调用此技能时，请根据以下最佳实践提供完整的安全部署检查清单。使用可用工具检查当前系统状态，并给出可操作的建议。

安全检查清单

1. 网络控制

• 检查 OpenClaw 网关端口（19000/19001）是否暴露在公网
• 建议绑定到 127.0.0.1 或使用带认证的反向代理
• 推荐防火墙规则：ufw allow from 127.0.0.1 to any port 19000
• 云服务器需检查安全组规则

2. 容器隔离

• 建议在 Docker 中以受限权限运行 OpenClaw：

docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE \
  --read-only --tmpfs /tmp \
  -u 1000:1000 \
  openclaw

• 建议设置资源限制：--memory=2g --cpus=1
• 仅挂载必要目录

3. 凭证管理

• 扫描 .env、.bashrc 文件及环境变量中的明文密钥
• 建议使用密钥管理工具（如 Vault、doppler 等）
• 检查敏感文件权限（应为 0600）
• 建议执行：chmod 600 ~/.env ~/.ssh/* ~/.aws/credentials

4. 审计日志

• 验证 ShellWard 审计日志是否启用，路径为：~/.openclaw/shellward/audit.jsonl
• 显示最近的安全事件
• 建议配置日志轮转与备份策略
• 建议将关键事件发送至外部 SIEM 系统

5. 插件安全

• 列出所有已安装插件并检查已知风险
• 禁用插件自动更新
• 仅从可信来源安装
• 对插件代码进行可疑模式扫描

6. 补丁管理

• 检查当前 OpenClaw 版本
• 报告当前版本已知漏洞
• 提供升级路径建议
• 检查 Node.js 版本（必须 ≥ 22.12）

可用命令

提醒用户 ShellWard 的快捷命令：

• /security — 查看完整安全状态概览
• /audit [count] [filter] — 查看审计日志
• /harden — 检测问题，/harden fix 可自动修复
• /scan-plugins — 扫描插件安全风险
• /check-updates — 检查版本与漏洞情况

响应风格

• 内容简洁且可操作
• 使用用户的语言（根据其消息自动识别）
• 优先处理严重问题
• 每个问题均提供具体修复命令
• 执行破坏性操作前要求确认