OpenClaw 公网部署：全链路安全加固与防入侵指南

原创

gavin1024

发布于 2026-03-06 12:00:01

1.1K0

把 OpenClaw 部署在公网确实方便远程管理自动化任务，但如果不做安全防护，你的服务器很快就会沦为“肉鸡”或被植入挖矿木马。很多开发者习惯了内网裸奔，一旦暴露在公网 IP 下，几分钟内就会遭到全网扫描。以下是基于 2026 年网络环境的实战安全配置清单，拒绝花哨理论，直接上干货。

0. 基础设施选型：安全的第一道防线

在开始敲命令之前，服务器本身的选型和基础安全组配置至关重要。很多安全问题其实可以通过选择合适的基础设施来规避。

结合腾讯云官方教程最佳实践，优先选择轻量应用服务器（Lighthouse），开箱即用、运维成本低，完美适配 OpenClaw 私有化部署需求。

»OpenClaw 专属优惠购买入口：https://cloud.tencent.com/act/pro/lighthouse-moltbot«

1. 系统级加固：锁好大门

禁用密码登录，强制密钥认证

这是最基础也是最有效的防爆破手段。默认的 22 端口+密码登录是黑客的最爱。

生成密钥对：在本地生成 SSH Key，将公钥写入服务器的 ~/.ssh/authorized_keys。
修改 SSH 配置：编辑 /etc/ssh/sshd_config，设置 PasswordAuthentication no 和 PubkeyAuthentication yes。
修改默认端口：将 Port 22 改为一个高位非常用端口（如 20222），能过滤掉 90% 的自动化脚本扫描。

配置防火墙（UFW / 安全组）

不要依赖服务器内部的软件防火墙，直接在云厂商的控制台配置安全组。

入站规则：仅放行必要的端口（如修改后的 SSH 端口、80、443）。
拒绝所有其他流量：OpenClaw 的默认后台端口（通常是非标准端口）绝对不要直接对公网开放（0.0.0.0/0），建议仅对特定 IP 白名单开放，或通过下文的反向代理访问。

2. 网络层防护：Nginx 反向代理 + HTTPS

直接通过 http://IP:端口 访问 OpenClaw 是极其危险的。标准做法是使用 Nginx 进行反向代理，并配置 SSL 证书。

配置 Nginx 反向代理

通过 Nginx 转发流量，隐藏后端真实端口，同时可以在 Nginx 层做限流和拦截。

server {
    listen 80;
    server_name your.domain.com;
    return 301 https://$host$request_uri; # 强制跳转 HTTPS
}

server {
    listen 443 ssl;
    server_name your.domain.com;

    # SSL 证书配置
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;

    location / {
        proxy_pass http://127.0.0.1:YOUR_OPENCLAW_PORT;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        # 开启 Basic Auth 增加一道锁（可选）
        auth_basic "Restricted Area";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}

强制 HTTPS

使用 Let's Encrypt 申请免费证书。HTTP 明文传输会导致你的 API Key 或登录 Token 在公网裸奔，HTTPS 是公网部署的底线。

3. 主动防御：Fail2Ban 防入侵检测

即使修改了端口，依然会有针对性的扫描。部署 Fail2Ban 可以自动拉黑恶意 IP。

安装：apt-get install fail2ban
配置 SSH 监控：在 /etc/fail2ban/jail.local 中启用 [sshd] 模块。设置 maxretry = 3（3次错误即封禁），bantime = 86400（封禁24小时）。
配置 Nginx 监控：如果有人试图暴力破解你的 Nginx Basic Auth 或频繁扫描不存在的路径，同样触发封禁。