skills/zfanmy/Openclaw Deploy

Openclaw Deploy

🐳 OpenClaw 一键打包与远程部署

一键打包 OpenClaw 为 Docker 镜像或便携包,支持远程一键部署与配置备份,适合多环境迁移与快速交付。

收藏
5.3k
安装
2.5k
版本
1.0.4
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

OpenClaw Deploy 是一款针对 OpenClaw 项目的部署工具,提供两种主要交付形式:Docker 镜像构建便携包(Portable Package)生成。用户可通过 build-portable.sh 脚本快速生成 clean(无个人数据)或 full(含配置)两种版本的压缩包,配合 deploy.sh 实现远程服务器的一键部署。工具支持环境变量自定义路径(OPENCLAW_INSTALL_DIROPENCLAW_CONFIG_DIROUTPUT_DIR),适应不同目录结构的部署需求。

显著优点

1. 双模式交付:clean 版本适合全新部署,full 版本保留配置,实现「开箱即用」的迁移体验。
2. 远程部署简化:内置 rsync 与 SSH 支持,单条命令完成上传、解压、启动流程。
3. 环境隔离:便携包模式避免目标服务器依赖复杂构建环境,仅需 Node.js 22.x 即可运行。
4. MIT 开源:社区友好,允许二次开发与商业使用。

潜在缺点与局限性

  • 依赖硬编码脚本:核心功能依赖 shell 脚本(build-portable.shdeploy.sh),Windows 环境需 WSL 或 Git Bash 适配。
  • Node.js 版本锁定:强制要求 Node.js 22.x,旧版本系统需额外升级。
  • 安全性待验证:官方未提供安全审计报告,远程部署脚本涉及 SSH 密钥管理与服务器命令执行,存在误操作或配置泄露风险。
  • 社区规模未知:作者为个人开发者(zfanmy-梦月儿),长期维护与文档更新依赖社区贡献。

适合人群

  • 需要将 OpenClaw 快速部署至多台服务器的运维人员
  • 追求「一键迁移」的私有化部署用户
  • 熟悉 Linux 环境变量与 shell 脚本的技术团队

常规风险

| 风险类型 | 说明 |
|---------|------|
| 远程执行风险 | `deploy.sh` 通过 SSH 在目标服务器执行命令,若目标地址或凭据配置错误,可能导致误操作或数据覆盖。 |
| 路径遍历风险 | 环境变量路径若包含未经验证的用户输入,可能引发路径穿越(已修复于 v1.0.1)。 |
| 配置泄露风险 | full 版本包含 `~/.openclaw` 配置,打包前需确认无敏感凭据(如 API Key、数据库密码)。 |
| 供应链风险 | 依赖 `npm` 与 `node` 二进制,若构建环境被污染,便携包可能携带恶意依赖。 |

版本迭代建议

当前 v1.0.1 已修复硬编码路径问题,建议后续版本增加:部署前配置审查提示、Docker 镜像签名验证、以及 Windows 原生支持。

安全解读

核心用法

OpenClaw Deploy 是一款面向个人开发者的自动化部署工具,专注于简化 OpenClaw 服务的打包、迁移与远程部署流程。其工作流分为三阶段:本地构建(生成 clean/full 双版本便携包)、导出打包(压缩为 tar.gz 并附带部署脚本)、远程推送(通过 rsync/ssh 完成目标服务器安装)。

关键特性包括:

  • 双版本构建:clean 版(纯净无配置)适合新环境部署;full 版(含完整配置)用于数据迁移与备份恢复
  • Docker 化部署:支持构建轻量/完整两种镜像,通过环境变量自定义端口与挂载路径
  • 环境变量驱动OPENCLAW_INSTALL_DIROUTPUT_DIR 等变量实现零代码修改的灵活配置

使用示例

# 构建并导出
export OUTPUT_DIR=/opt/packages
./scripts/build-portable.sh && ./scripts/export-portable.sh

# 远程部署
./export/deploy.sh admin@192.168.1.100 full /var/www/openclaw

显著优点

1. 运维效率提升:一键完成"构建→打包→部署→启动"全链路,传统手动流程需 30 分钟以上,压缩至 5 分钟内
2. 迁移成本极低:full 便携包包含配置与数据,跨服务器迁移无需重新配置,解压即运行
3. 零依赖设计:目标服务器仅需 Node.js 环境,无需 Docker(可选)或额外运行时
4. 透明可控:MIT 协议开源,脚本逻辑清晰可读,无黑盒操作

潜在缺点与局限性

  • T3 来源可信度:作者为个人开发者(zfanmy-梦月儿),无知名组织背书,存在长期维护不确定性
  • L1 级动态代码风险install-node.sh 直接从 GitHub 下载并执行 NVM 安装脚本,虽来源可信但缺乏 SHA256 校验,存在供应链攻击隐患
  • 权限管理粗放:脚本涉及 rm -rfdocker run 等高危操作,虽添加了基础验证但缺少二次确认机制
  • 网络依赖较强:远程部署依赖 rsync/ssh,目标服务器若无外网则需离线准备 Node.js 安装包

适合人群

  • 个人开发者/独立运维:需要频繁在测试机、生产机之间迁移 OpenClaw 服务
  • 小型团队:缺乏专职 DevOps,希望通过脚本化减少重复劳动
  • 技术爱好者:学习 Docker 部署与 Linux 自动化运维的参考案例

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| 供应链攻击 | 中 | 远程下载的 NVM 脚本若被篡改,将导致恶意代码执行 |
| 数据误删 | 低 | `OUTPUT_DIR` 若指向系统目录,可能被 `rm -rf` 清空 |
| 容器逃逸 | 低 | Docker 配置不当可能导致权限提升(建议非 root 运行) |
| 配置泄露 | 低 | full 包包含明文配置,传输过程需加密通道(scp/rsync over SSH) |

优化建议

1. 立即行动:为 install-node.sh 添加 SHA256 校验或改用本地缓存的 NVM 安装包
2. 安全加固:部署前执行 set -u 检查未定义变量,避免空值导致误操作
3. 可信增强:建议作者发布至 GitHub 并启用 GPG 签名提交,提升 T3→T2 可信度

deploymentdockeropenclawportablemigrationbackupdevops

Openclaw Deploy 内容

scripts文件夹
templates文件夹
手动下载zip · 10.1 kB
build-portable.shtext/x-shellscript
请选择文件