核心功能
Security Dashboard 是专为 OpenClaw 网关和 Linux 服务器设计的实时安全监控面板,聚合七大核心监控维度:
OpenClaw 专属监控:网关运行状态、绑定配置(回环/公网)、认证令牌强度、活跃会话与子代理数量、技能加载状态、版本追踪与更新可用性。
网络与暴露面分析:Tailscale VPN 连接状态、公网端口扫描、UFW/firewalld 防火墙状态、TCP 活跃连接数,并生成四级暴露评级(Excellent/Minimal/Warning/High)。
系统与访问控制:系统更新待安装数量、24小时失败登录尝试、fail2ban 封禁 IP 数、SSH 密码认证状态、活跃 SSH 会话监控。
证书与资源安全:Caddy 服务状态、TLS 配置验证、WireGuard 加密状态,以及 CPU/内存/磁盘使用率、配置文件权限(应 600)检测。
显著优点
- 纵深防御架构:默认 127.0.0.1 本地绑定,需 SSH 隧道访问;支持专用系统用户运行,配合 systemd 沙盒(NoNewPrivileges/ProtectSystem/PrivateTmp)。
- 零依赖侵入性:纯 Node.js + 标准 Linux 工具(ss、systemctl、ufw),无需额外 Agent。
- 分级告警机制:Critical(弱令牌、SSH 密码登录、防火墙关闭)、Warning(Tailscale 断开、高负载)、Info(配置偏离最佳实践)。
- API 原生设计:
/api/security端点可直接集成至 Morning Briefing、Heartbeat 监控或外部告警系统。
潜在局限与风险
- 权限边界模糊:专用用户仍需 sudo 执行 fail2ban、firewall、systemctl 查询,若 sudoers 配置不当存在提权可能。
- 无持久化审计:日志仅依赖 journalctl,无内置 SIEM 集成或长期事件存储。
- Node.js 运行时风险:作为长期运行的 HTTP 服务,存在供应链攻击面(依赖包漏洞)。
- 网络绑定误配置:文档虽强调 127.0.0.1,但
0.0.0.0选项易被误开启导致公网暴露。 - Tailscale 依赖盲区:若用户无 Tailscale,暴露评级算法可能产生误导性"Warning"评分。
适合人群
- 个人开发者/小型团队运营单节点 OpenClaw 网关
- 需轻量级安全基线监控但无力部署 Wazuh/OSSEC 的环境
- 已通过 Tailscale 组网、追求"安全即默认"架构的用户
常规风险
- 本地提权:Node.js 进程若遭漏洞利用,可能通过 sudo 跳板获取系统权限
- 信息泄露:API 端点暴露进程列表、网络连接等敏感元数据
- 配置漂移:手动修改
server.js绑定地址易引入人为错误
使用建议
1. 强制 SSH 隧道访问,禁止直接暴露 18791 端口
2. 定期审计 sudoers 规则,确保仅允许白名单命令
3. 集成 fail2ban 保护 dashboard 访问日志(若未来支持反向代理)
4. **启用 unattended-upgrades 自动修补 Node.js 运行时