Synology Backup

💾 OpenClaw 安全备份至群晖 NAS

将 OpenClaw 工作空间、配置和代理数据备份至 Synology NAS,支持 SMB/SSH/rsync 传输、Tailscale 安全远程连接、自动每日快照与完整性验证,专为显式通知机制设计

收藏
8.6k
安装
2.1k
版本
2.0.3
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

synology-backup 是一套面向 OpenClaw 生态的自动化备份方案,专为将工作空间、代理配置及会话数据安全归档至 Synology NAS 而设计。核心工作流包括:

1. 传输协议:支持 SMB(需 cifs-utils + 凭证文件)或 SSH/rsync(推荐,需 SSH 密钥认证),后者无需密码文件且更安全
2. 网络架构:本地网络直连或经 Tailscale 构建零信任隧道,避免将 SMB 445 端口暴露于公网

3. 快照策略:每日增量备份,默认保留 7 天;恢复前自动创建"预恢复安全快照"(默认保留 3 天),支持回滚

4. 执行控制:通过 backup.sh(支持 --dry-run)、status.shverify.sh(完整性校验)、restore.sh 完成全生命周期管理

5. 通知机制:与传统 shell 脚本隐藏输出不同,本技能强制由 OpenClaw 的 cron/session 层显式调用 message 工具发送告警,避免静默失败

显著优点

  • 纵深安全:SSH 模式采用密钥认证 + StrictHostKeyChecking=yes;SMB 模式强制 600 权限凭证文件;.env 文件默认排除,API 密钥不落盘备份
  • 零信任网络:Tailscale 支持使 VPS-to-NAS 备份无需公网 IP 或端口转发,天然抵御扫描和暴力破解
  • 数据完整性:每份快照含 manifest.json 记录时间戳与路径计数;verify.sh 通过 md5sum 与目录结构比对实现可审计的完整性校验
  • 精细化权限:建议创建仅拥有单一备份共享文件夹权限的专用账户,杜绝 NAS 管理权限横向移动风险
  • 弹性恢复:预恢复快照机制允许用户在新旧数据间安全切换,误操作可逆

潜在局限与风险

| 风险点 | 说明 | 缓释建议 |
|--------|------|----------|
| SMB 暴露风险 | 若错误配置将 445 端口映射至公网,易受勒索软件扫描 | 强制 Tailscale/WireGuard 内网访问 |
| SSH 主机密钥 | 自动化前需手动首次连接以写入 `known_hosts`,否则脚本拒绝执行 | 运维手册中明确前置步骤 |
| 凭证文件泄露 | `~/.openclaw/.smb-credentials` 若权限配置错误(非 600)可被同系统用户读取 | 技能内置权限检查,启动时校验 |
| 快照一致性 | 备份时 OpenClaw 若正在写入大文件,可能导致快照内数据时间戳不一致 | 建议调度至业务低峰期(默认 03:00) |
| `.env` 恢复遗漏 | 默认排除 API 密钥文件,恢复后需手动重新配置密钥 | 文档已明确提示,用户需权衡便利性与安全 |

适合人群

  • 使用 OpenClaw 进行长期项目管理的个人开发者或小团队
  • 拥有 Synology NAS 并希望实现 3-2-1 备份策略(本地 + NAS + 可选异地)的用户
  • 在 VPS 上运行 OpenClaw 且需跨网络(公网/VPN)安全备份至私有 NAS 的技术型用户
  • 对数据主权有要求、不愿将工作数据托付至公有云 S3 的隐私敏感用户

常规风险总结

本技能本身不存储密钥,但依赖用户正确配置 SMB 凭证文件权限与 SSH 密钥管理。最严重的风险场景为:用户为"方便"而将 SMB 直接暴露于公网且使用弱密码,这将使 NAS 成为勒索软件(如 eCh0raix)的高价值目标。建议生产环境采用 SSH + Tailscale 组合,并定期运行 verify.sh 确认备份可恢复性。

Synology Backup 内容

scripts文件夹
手动下载zip · 18.3 kB
backup.shtext/x-shellscript
请选择文件