Security Dashboard

🛡️ OpenClaw 专属安全监控中枢

OpenClaw专属安全监控面板,实时追踪网关状态、网络暴露面、SSH防护、TLS证书等7大维度安全指标,默认本地绑定零公网暴露风险。

收藏
6.6k
安装
2.4k
版本
1.2.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

Security Dashboard 是专为 OpenClaw 网关和 Linux 服务器设计的实时安全监控面板,聚合七大核心监控维度:

OpenClaw 专属监控:网关运行状态、绑定配置(回环/公网)、认证令牌强度、活跃会话与子代理数量、技能加载状态、版本追踪与更新可用性。

网络与暴露面分析:Tailscale VPN 连接状态、公网端口扫描、UFW/firewalld 防火墙状态、TCP 活跃连接数,并生成四级暴露评级(Excellent/Minimal/Warning/High)。

系统与访问控制:系统更新待安装数量、24小时失败登录尝试、fail2ban 封禁 IP 数、SSH 密码认证状态、活跃 SSH 会话监控。

证书与资源安全:Caddy 服务状态、TLS 配置验证、WireGuard 加密状态,以及 CPU/内存/磁盘使用率、配置文件权限(应 600)检测。

显著优点

  • 纵深防御架构:默认 127.0.0.1 本地绑定,需 SSH 隧道访问;支持专用系统用户运行,配合 systemd 沙盒(NoNewPrivileges/ProtectSystem/PrivateTmp)。
  • 零依赖侵入性:纯 Node.js + 标准 Linux 工具(ss、systemctl、ufw),无需额外 Agent。
  • 分级告警机制:Critical(弱令牌、SSH 密码登录、防火墙关闭)、Warning(Tailscale 断开、高负载)、Info(配置偏离最佳实践)。
  • API 原生设计/api/security 端点可直接集成至 Morning Briefing、Heartbeat 监控或外部告警系统。

潜在局限与风险

  • 权限边界模糊:专用用户仍需 sudo 执行 fail2ban、firewall、systemctl 查询,若 sudoers 配置不当存在提权可能。
  • 无持久化审计:日志仅依赖 journalctl,无内置 SIEM 集成或长期事件存储。
  • Node.js 运行时风险:作为长期运行的 HTTP 服务,存在供应链攻击面(依赖包漏洞)。
  • 网络绑定误配置:文档虽强调 127.0.0.1,但 0.0.0.0 选项易被误开启导致公网暴露。
  • Tailscale 依赖盲区:若用户无 Tailscale,暴露评级算法可能产生误导性"Warning"评分。

适合人群

  • 个人开发者/小型团队运营单节点 OpenClaw 网关
  • 需轻量级安全基线监控但无力部署 Wazuh/OSSEC 的环境
  • 已通过 Tailscale 组网、追求"安全即默认"架构的用户

常规风险

  • 本地提权:Node.js 进程若遭漏洞利用,可能通过 sudo 跳板获取系统权限
  • 信息泄露:API 端点暴露进程列表、网络连接等敏感元数据
  • 配置漂移:手动修改 server.js 绑定地址易引入人为错误

使用建议

1. 强制 SSH 隧道访问,禁止直接暴露 18791 端口
2. 定期审计 sudoers 规则,确保仅允许白名单命令

3. 集成 fail2ban 保护 dashboard 访问日志(若未来支持反向代理)

4. **启用 unattended-upgrades 自动修补 Node.js 运行时

Security Dashboard 内容

public文件夹
scripts文件夹
手动下载zip · 17.9 kB
index.htmltext/plain
请选择文件