核心用法
Security Dashboard 是一款面向 OpenClaw 网关与 Linux 服务器基础设施的实时安全监控工具,采用 Node.js 轻量架构,提供 Web 可视化界面与 RESTful API 双模式访问。部署后默认以 systemd 服务形式在 127.0.0.1:18791 运行,用户需通过 SSH 端口转发安全访问,避免直接暴露管理界面。
仪表板涵盖七大安全维度:
- OpenClaw 安全:网关运行状态、令牌强度、会话管理
- 网络安全:Tailscale VPN 状态、防火墙活性、端口暴露
- 系统安全:更新待处理、负载、失败登录尝试
- SSH 与访问控制:密码认证开关、fail2ban 状态、活动会话
- 证书与加密:Caddy/TLS 配置、WireGuard 加密状态
- 资源安全:CPU/内存/磁盘使用率、配置文件权限
API 端点 (/api/security) 支持集成至晨间简报、心跳检测及外部告警系统,输出 JSON 格式便于自动化处理。
显著优点
1. 默认安全设计:强制本地绑定 (127.0.0.1),消除未授权访问风险;SSH 隧道访问是唯一推荐方式。
2. 零依赖框架:纯原生 JavaScript 前端,Node.js 后端,无重型框架,启动迅速,资源占用低。
3. 多维度风险量化:自动生成暴露等级评估(Excellent/Minimal/Warning/High),并分级告警(Critical/Warning/Info)。
4. 基础设施原生集成:深度对接 systemd、ufw/firewalld、fail2ban、Tailscale 等 Linux 标准组件,非侵入式采集。
潜在局限与风险
- 单点监控局限:仅覆盖单节点,无分布式集群安全态势聚合能力。
- 权限敏感:部分指标(如失败登录、服务状态)需 root 权限,配置不当可能导致信息泄露或权限提升。
- 无内置认证:仪表板本身无账号体系,依赖网络层隔离(本地绑定/Tailscale)保障安全;若误改为 0.0.0.0 绑定且无防火墙,将完全暴露。
- 告警闭环缺失:仅生成状态数据,无原生邮件/短信/Slack 推送通道,需外部脚本二次集成。
适合人群
- 运维个人服务器或小型 OpenClaw 集群的系统管理员
- 采用 Tailscale 组网、追求轻量级安全可视化的自托管用户
- 需快速审计 Linux 主机暴露面、排查 SSH 入侵尝试的安全运维人员
常规风险
- 配置漂移风险:手动修改
server.js绑定地址时易误设0.0.0.0,导致管理界面公网暴露。 - 信息泄露:API 返回原始安全配置(令牌长度、端口列表),若隧道被中间人嗅探,可能暴露攻击面。
- 依赖命令注入:后端通过 shell 执行
ss、systemctl等命令,若输入未严格校验,存在命令注入隐患(当前版本未显示过滤逻辑)。