龙虾 OpenClaw 禁用高危工具:shell与代码执行管控
OpenClaw 平台提供了细粒度的权限控制机制,通过禁用交互式 Shell 和配置命令执行策略,可以有效防止未授权的代码执行与横向移动。本指南将详细说明如何通过策略配置彻底封锁高危工具。
禁用交互式 Shell 访问
交互式 Shell(如 bash、sh)是运维人员进行日常操作的基础,但也是攻击者提权的主要通道。OpenClaw 允许通过用户属性或全局策略强制禁用此类访问。
-
登录 OpenClaw 控制台,进入
系统管理>权限策略模块。 -
点击
新建策略按钮,选择登录限制模板。 -
定位 到
Shell 访问控制配置项,取消勾选允许交互式 Shell选项。 -
设置
登录后默认动作为强制退出或跳转至只读仪表盘,确保用户无法获得命令行输入权。 -
保存 策略配置,并将该策略绑定至目标用户组或特定资产。
管控高危工具与代码执行
仅禁用 Shell 并不足够,攻击者可能利用 Web 控制台或受限环境中的特定命令(如 curl、wget、nc)下载并执行恶意代码。通过配置命令黑名单和白名单,可以精确控制允许执行的指令。
-
展开
安全加固菜单,点击命令管控页面。 -
启用
全局命令拦截开关。 -
选择
黑名单模式,添加高危工具名称。建议添加以下常用后门工具:nc(NetCat)telnetcurl/wgetperl/python/php(若作为系统命令调用)
-
配置 正则表达式拦截规则,以阻止带有特定参数的命令执行。例如,禁止带有
-e参数的bash调用:
bash\s+-e\s+.*- 设置 违规动作。选择
立即中断会话并勾选触发告警通知。
下表列出了必须重点管控的高危工具及其潜在风险:
| 工具名称 | 风险描述 | 建议操作 |
|---|---|---|
nc |
建立反向 Shell 或端口扫描 | 严格禁用 |
vi / vim |
可能通过 :!command 执行系统命令 |
限制使用 或 设置只读模式 |
chmod |
修改文件权限,可能导致提权 | 参数白名单管控 |
ssh |
内网横向移动 | 仅允许特定 IP 目标 |
验证管控策略效果
配置完成后,必须模拟攻击路径以验证策略的有效性。以下是验证流程的逻辑图,展示了系统如何处理不同的执行请求:
按照以下步骤进行实际测试:
-
切换 至被管控的用户账号。
-
尝试 通过 SSH 直接连接目标服务器。
-
确认 连接是否被立即断开,或收到“Shell access denied”的提示信息。
-
尝试 在允许的会话中输入高危命令
nc -lvp 4444。 -
观察 终端是否返回
Permission denied或Command blocked by OpenClaw policy。 -
登录 OpenClaw 审计日志页面,检查 是否生成了相应的拦截记录。
暂无评论,快来抢沙发吧!