核心功能
Security Dashboard 是一款面向 OpenClaw 网关和 Linux 服务器基础设施的实时监控仪表板,集成 7 大安全维度:OpenClaw 网关状态、网络安全(Tailscale/防火墙/端口)、公开暴露风险评估、系统安全(更新/登录失败)、SSH 访问控制、证书 TLS 配置以及资源安全监控。
显著优点
1. 默认安全设计:强制 localhost 绑定(127.0.0.1),必须通过 SSH 隧道访问,从根本上消除公网暴露风险;支持专用用户运行并配备严格的 systemd 安全加固(NoNewPrivileges、ProtectSystem=strict、PrivateTmp 等)
2. 细粒度权限控制:openclaw-dashboard 专用用户仅被授予特定 sudo 权限(fail2ban、firewall、systemctl status),无 shell 访问、无 home 目录、无法执行任意命令
3. 实时威胁感知:三级告警系统(Critical/Warning/Info),覆盖弱令牌、密码认证、防火墙停用、fail2ban 失效、暴力破解等关键风险
4. 零框架轻量架构:纯 Node.js + 原生 JavaScript,无前端框架依赖,资源占用极低,适合边缘服务器部署
潜在局限
1. 依赖外部安全栈:功能完整性依赖 Tailscale、fail2ban、UFW/firewalld、Caddy 等外部组件的预装和配置
2. 无内置认证层:仪表板本身不提供登录认证,完全依赖网络层隔离(localhost/Tailscale);若错误配置为 0.0.0.0 绑定且无 VPN,将直接暴露敏感安全数据
3. 权限升级路径存在:尽管受限,sudo 权限仍构成理论上的权限提升通道
4. 单点监控风险:若仪表板自身被入侵,攻击者可获取完整安全拓扑情报
适合人群
- Self-hosting 用户:运行 OpenClaw 网关的 Linux 服务器管理员
- 安全运维人员:需要集中查看防火墙、fail2ban、TLS、SSH 状态的运维团队
- Tailscale 用户:已部署 Tailscale mesh VPN 的私有网络环境
常规风险
- 配置漂移风险:用户可能为"方便"修改绑定至 0.0.0.0,导致安全仪表板本身成为攻击入口
- 信息泄露:API 端点
/api/security返回完整安全拓扑,需确保访问链路加密(SSH 隧道/Tailscale HTTPS) - Node.js 供应链:尽管无外部 npm 依赖声明,仍需关注 Node.js 运行时本身的安全更新