Host Hardening

🛡️ 2 分钟完成服务器安全加固

专为 OpenClaw 服务器设计的快速安全加固方案,2 分钟内完成 SSH 密钥认证、UFW 防火墙、fail2ban 防护及凭证权限配置。

收藏
3.9k
安装
1.4k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

本技能为 OpenClaw Linux 服务器提供一键式安全加固,涵盖四大关键领域:

1. SSH 密钥-only 认证
通过修改 /etc/ssh/sshd_config 禁用 root 密码登录和密码认证,强制使用密钥对访问,从源头杜绝暴力破解。

2. UFW 防火墙最小权限原则
默认拒绝所有入站流量,仅放行 SSH(后续可按需扩展 HTTPS 等端口),建立网络层第一道防线。

3. fail2ban 主动防御
自动监控 SSH 日志,对多次失败登录尝试实施 IP 封禁,形成动态防护层。

4. OpenClaw 专属加固

  • 凭证目录 700 权限锁定
  • 自定义 systemd 服务实现网关自启动与故障自愈

---

显著优点

  • 极速部署:全部操作可在 2 分钟内完成,适合云服务器初始化
  • 分层防御:网络层(UFW)+ 认证层(SSH)+ 行为层(fail2ban)纵深配合
  • 生产级可靠:systemd Restart=always 确保服务高可用
  • 验证闭环:提供 5 条验证命令,加固效果可量化确认

---

潜在局限

  • 锁定风险:若未提前配置好 SSH 密钥即执行,将导致无法登录
  • 单点依赖:systemd 服务以 root 运行,存在特权提升风险
  • 静态配置:fail2ban 使用默认规则,面对分布式攻击效果有限
  • 发行版差异:Ubuntu 的 SSH 服务名为 ssh 而非 sshd,跨平台需注意

---

适合人群

| 场景 | 建议 |
|------|------|
| 新购云服务器初始化 | ⭐ 强烈推荐 |
| 安全事件后应急加固 | ⭐ 推荐使用 |
| 企业级合规审计 | ⚠️ 需配合更多基线检查 |
| 完全新手用户 | ⚠️ 建议先测试再生产部署 |

---

常规风险

1. 访问丢失:禁用密码认证后,私钥丢失即永久无法登录
2. 服务中断:UFW 误配置可能阻断合法流量

3. 日志膨胀:fail2ban 在攻击高峰期可能产生大量日志

4. OpenClaw 特定:网关服务以 root 运行,若二进制遭篡改影响面大

Host Hardening 内容

手动下载zip · 1.3 kB
SKILL.mdtext/markdown
请选择文件