VPS 安全加固（适用于 OpenClaw）

适用于在 VPS 上部署 AI 代理的生产就绪型安全加固方案。

⚠️ 重要警告

请勿在存储敏感个人数据的服务器或设备上运行 OpenClaw。 请使用专用机器（VPS、物理机或仅用于 OpenClaw 的本地服务器）。

支持的操作系统： Ubuntu 20.04+ 或 Debian 11+。不支持 Windows（可使用 WSL2）或 macOS。

⚠️ 安装前请先选择 SSH 端口

您必须在安装前选择一个自定义 SSH 端口（1024–65535）。 这有助于您意识到这一安全决策的重要性。

# 选择您的端口（例如：4848）
export SSH_PORT=4848

# 开始安装
cd ~/.openclaw/skills/vps-openclaw-security-hardening
sudo ./scripts/install.sh

# 验证安装
./scripts/verify.sh

# 测试 SSH（新开终端）
ssh -p ${SSH_PORT} root@your-vps-ip

它实现了哪些防护？

系统要求

• 操作系统： Ubuntu 20.04+ 或 Debian 11+（仅限 Linux）
• 不支持： Windows（可使用 WSL2）、macOS
• 具备 root 权限
• 已配置 SSH 密钥认证
• 告警通道（可选）：Telegram、Discord、Slack、邮件或 Webhook
• 自定义 SSH 端口（1024–65535 之间任意选择）

安全配置变更

SSH

• 端口：22 → ${SSH_PORT}（由您自定义，范围 1024–65535）
• 认证方式：仅允许密钥登录（禁用密码）
• 禁止 root 登录
• 最大尝试次数：3 次
• Fail2ban：启用暴力破解防护

防火墙

• 默认策略：拒绝所有入站连接
• 允许：仅开放您指定的 SSH 端口

服务配置

• CUPS（打印服务）：已停止并禁用
• Fail2ban：启用入侵检测
• 自动更新：自动应用安全补丁

监控功能

• 凭证文件访问追踪
• SSH 配置变更检测
• 特权提升告警
• 每日安全简报

资源占用情况

文件列表

• scripts/install.sh - 主要安装脚本
• scripts/verify.sh - 安装验证脚本
• scripts/rollback-ssh.sh - 紧急回滚脚本
• scripts/critical-alert.sh - Telegram 告警脚本
• scripts/daily-briefing.sh - 每日报告脚本
• rules/audit.rules - 审计规则配置文件

文档说明

完整文档请参阅 [README.md](README.md)。

许可协议

MIT — 详见 LICENSE 文件