核心功能
host-hardening 是一套面向 OpenClaw Linux 服务器的系统级安全加固方案,通过四项关键配置提升主机防护能力:SSH 强制密钥认证、UFW 防火墙最小权限开放、fail2ban 暴力破解防护,以及凭据文件权限收紧。
显著优点
- 纵深防御设计:SSH+UFW+fail2ban 三层防护,即使云厂商安全组被绕过仍有主机级防火墙
- 操作阻断友好:每个高危命令均要求用户显式确认,避免误操作导致锁机
- 自动化值守:可选 systemd 服务实现 OpenClaw Gateway 开机自启与崩溃重启
- 验证闭环:提供完整检查命令,确保加固效果可量化验证
潜在局限
- 发行版锁定:apt 系命令针对 Debian/Ubuntu,其他发行版需手动迁移
- 单点依赖:强制密钥认证前若未验证密钥通路,存在永久失联风险
- root 特权要求:全程需 sudo/root,无法用于普通用户自建环境
适合人群
- 新购云服务器需快速建立安全基线的 DevOps/SRE
- 发生安全事件后需紧急加固的运维人员
- 运行 OpenClaw Gateway 且需 7×24 在线的生产环境管理员
常规风险
| 风险点 | 缓解措施 |
|--------|---------|
| SSH 密钥未配置导致锁机 | 文档强制要求"Pre-check"验证 |
| UFW 规则遗漏业务端口 | 明确提示"按需追加规则" |
| systemd 服务以 root 运行 | 标注"Review before enabling" |
来源采用 MIT 开源协议,作者 ppiankov 维护,版本 v1.0 托管于 Canonical source。