核心用法
Clauditor 是一款专为 Clawdbot 代理设计的文件系统安全审计 watchdog,通过创建隔离的系统用户和 systemd 服务,持续监控预定义路径的文件活动。其核心工作流程分为引导式安装和运行时监控两阶段:
- 引导式安装:通过交互式 CLI wizard 分 6 步完成部署,每步包含
status/next/verify子命令,确保用户理解操作目的后再执行特权命令 - 运行时监控:以独立
sysaudit用户身份运行,日志写入受保护路径/var/lib/.sysd/.audit/events.log,支持生成带 HMAC 签名的 Markdown 格式审计摘要
显著优点
1. 隔离性设计:审计进程与 Clawdbot 主进程分离用户身份, compromise 无法直接终止或篡改
2. 防篡改日志:HMAC 链式结构使任何单条记录被修改都会导致验证失败
3. 低侵入部署:提供渐进式 wizard 安装,降低误配置风险
潜在局限
- Linux 专用:明确依赖
systemctl和 Linux 用户管理机制,无跨平台支持 - 构建依赖:需本地 Rust/Cargo 环境,无法直接下载二进制分发
- 隐蔽目录命名:日志路径使用
.sysd等伪装名称,虽增强隐蔽性但也增加运维排查难度 - 配置刚性:
watch_paths和target_uid需手动编辑 TOML,无动态重载机制
适合人群
- 运行 Clawdbot 代理且需合规审计日志的企业/团队
- 具备 Linux 系统管理能力的安全运维人员
- 对供应链攻击和内部威胁有防护需求的高安全场景
常规风险
- 服务伪装风险:systemd 服务命名为
systemd-journaldd(双 d),可能与真实 journald 混淆,存在社会工程利用空间 - 密钥管理:HMAC 密钥明文存储于
/etc/sysaudit/key,需额外依赖文件系统权限保护 - wizard.sh 快速安装:一键脚本跳过步骤验证,可能因环境差异导致配置不完整
- 供应链盲区:源码仓库
apollostreetcompany/clauditor需审计 Rust 依赖 crates 的可信度