龙虾 OpenClaw 公网暴露的安全预警：改监听地址、启用认证与审计日志

OpenClaw 是一个基于 Go 语言开发的高性能、高可用的分布式任务调度系统，广泛应用于大规模任务分发与执行场景。然而，由于其默认配置中监听地址为 0.0.0.0，且未启用认证与审计日志，若部署在公网环境中，极易被攻击者利用，导致敏感数据泄露、任务篡改甚至系统接管。本文将手把手带你完成三项关键安全加固操作：修改监听地址、启用认证机制、开启审计日志，确保 OpenClaw 在公网环境下的安全性。

一、修改监听地址，避免公网暴露

1.1 问题分析

OpenClaw 默认监听地址为 0.0.0.0，表示监听所有网络接口，包括公网 IP。若部署在公网服务器上，攻击者可直接访问该服务，绕过认证直接操作任务调度系统。

1.2 操作步骤

1. 定位配置文件
   OpenClaw 的配置文件通常位于 /etc/openclaw/config.yaml 或项目根目录下的 config.yaml。
   使用以下命令查找配置文件位置：

   find / -name "config.yaml" 2>/dev/null

2. 编辑配置文件
   打开配置文件，找到 server 部分，修改 listen 字段：

   server:
     listen: "127.0.0.1:8080"

   • 127.0.0.1 表示仅监听本机，无法从外部访问。
   • 若需通过内网访问，可改为 192.168.1.100:8080（替换为实际内网 IP）。

3. 重启 OpenClaw 服务

   systemctl restart openclaw

   或

   openclaw --config /path/to/config.yaml

4. 验证监听地址是否生效
   在本机执行：

   netstat -tuln | grep 8080

   输出应为：

   tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN

二、启用认证机制，防止未授权访问

2.1 问题分析

OpenClaw 默认无任何认证机制，任何用户均可通过 HTTP 或 gRPC 访问任务管理接口，存在严重安全风险。启用认证可确保只有授权用户或服务才能操作任务调度系统。

2.2 操作步骤

1. 安装 OpenClaw 的认证插件（如 openclaw-auth）
   若使用官方版本，需确认是否已内置认证模块。若未内置，可自行开发或使用社区插件。
   假设插件名为 openclaw-auth，需将其添加到 OpenClaw 的插件目录中：

   mkdir -p /opt/openclaw/plugins
   cp /path/to/openclaw-auth.so /opt/openclaw/plugins/

2. 配置认证模块
   在 config.yaml 中添加 auth 配置：

   auth:
     enabled: true
     type: "basic"
     users:
       - username: "admin"
         password: "your_encrypted_password"
     token_ttl: 3600

   • type: "basic" 表示使用 HTTP Basic 认证。
   • users 中定义用户名和密码（建议使用加密存储）。
   • token_ttl 为 token 有效期（单位：秒）。

3. 启用认证插件
   在 server 配置中添加插件：

   server:
     listen: "127.0.0.1:8080"
     plugins:
       - name: "auth"
         path: "/opt/openclaw/plugins/openclaw-auth.so"

4. 重启 OpenClaw 服务

   systemctl restart openclaw

5. 测试认证是否生效
   使用 curl 测试：

   curl -u admin:your_encrypted_password http://127.0.0.1:8080/api/tasks

   若返回 401 错误或认证成功后的任务列表，则认证已生效。

三、开启审计日志，追踪操作行为

3.1 问题分析

在公网环境中，若无审计日志，一旦发生安全事件（如任务被篡改、用户被冒用），将无法追溯操作来源与时间，导致问题排查困难。开启审计日志可记录所有关键操作，为安全分析提供依据。

3.2 操作步骤

1. 配置审计日志模块
   在 config.yaml 中添加 audit 配置：

   audit:
     enabled: true
     log_level: "info"
     log_file: "/var/log/openclaw/audit.log"
     max_size: 100
     max_age: 30
     compress: true

   • log_file 为日志文件路径。
   • max_size 为日志文件最大大小（单位：MB）。
   • max_age 为日志保留天数。
   • compress 为是否启用日志压缩。

2. 启用审计插件
   在 server 配置中添加插件：

   server:
     listen: "127.0.0.1:8080"
     plugins:
       - name: "audit"
         path: "/opt/openclaw/plugins/openclaw-audit.so"

3. 创建日志目录并设置权限

   mkdir -p /var/log/openclaw
   chown openclaw:openclaw /var/log/openclaw
   chmod 755 /var/log/openclaw

4. 重启 OpenClaw 服务

   systemctl restart openclaw

5. 验证审计日志是否生成
   检查日志文件是否生成：

   ls -l /var/log/openclaw/audit.log

   若文件存在且内容包含操作记录（如 task created, user login 等），则审计日志已生效。

四、进阶建议：结合防火墙与 WAF 提升安全

4.1 配置防火墙

确保仅允许内网或特定 IP 访问 OpenClaw 服务：

iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP

4.2 部署 WAF（Web Application Firewall）

使用 Nginx 或 Cloudflare 等 WAF，对 OpenClaw 的 HTTP 接口进行防护，过滤恶意请求（如 SQL 注入、XSS、暴力破解等）。

五、总结：三项安全加固的核心结论

1. 监听地址修改：将 listen 从 0.0.0.0 改为 127.0.0.1 或内网 IP，确保服务仅在本地或内网可访问。
2. 启用认证机制：通过配置 auth 模块，使用 Basic 认证或 Token 认证，防止未授权访问。
3. 开启审计日志：配置 audit 模块，记录所有关键操作，便于安全事件追溯与分析。

完成以上三项操作后，OpenClaw 在公网环境下的安全性将大幅提升，可有效抵御常见攻击手段，保障任务调度系统的稳定运行。