核心用法
security-monitor 是专为 Clawdbot 设计的实时安全监控技能,以 Node.js 脚本形式运行,提供两种工作模式:单次扫描模式(--interval 60)和守护进程模式(--daemon)。用户可通过命令行参数灵活配置监控间隔(秒)、威胁类型(credentials/ports/api-calls)及输出方式。监控数据以 JSON 格式持久化到 /root/clawd/clawdbot-security/logs/alerts.log,并支持控制台实时输出。
显著优点
1. 零依赖部署:仅使用 Node.js 内置模块(fs/path/child_process),无 npm 包依赖,杜绝供应链攻击风险。
2. 多维度威胁检测:覆盖暴力破解(认证日志分析)、端口扫描(ss/netstat 监控)、进程异常、文件篡改、容器健康五大安全场景。
3. 轻量级架构:单文件实现(monitor.cjs),模块化函数设计,便于审计和二次开发。
4. 生态协同:与 security-audit 技能形成"扫描+监控"的完整安全闭环,支持 PM2/systemd 生产级部署。
潜在缺点与局限性
1. 功能未完全实现:Telegram 警报功能标记为 TODO,实际仅支持本地日志和控制台输出。
2. 硬编码路径:监控目录、日志路径均为硬编码(/root/clawd/...),缺乏配置灵活性。
3. 正则精度问题:IP 提取正则存在逻辑缺陷(match 对象使用不当),可能导致误报或漏报。
4. 参数验证缺失:命令行参数未做严格校验,存在潜在输入风险。
5. 权限要求较高:需读取 /var/log/auth.log、.env 等敏感文件,对运行环境有特定权限依赖。
适合的目标群体
- Clawdbot 生产环境运维人员:需要 7×24 小时安全监控的部署场景
- 中小团队安全管理员:缺乏专业 SOC(安全运营中心)资源,需要轻量级自建方案
- DevOps 工程师:已将 Clawdbot 集成至 CI/CD 流程,需配套安全监控能力
- 安全合规需求方:需要满足基础入侵检测日志留存要求的组织
使用风险
1. 性能开销:高频监控(如 10 秒间隔)配合 execSync 同步执行系统命令,可能对低配置服务器造成 CPU/IO 压力。
2. 日志膨胀:长期运行的守护进程未实现日志轮转,磁盘空间存在耗尽风险。
3. 权限配置风险:若日志文件权限设置不当(建议 600),敏感安全数据可能被非授权读取。
4. 误报干扰:基于阈值的启发式检测(如"5 分钟内 10 次失败登录")在复杂网络环境中可能产生噪音警报。
5. 单点故障:无高可用设计,监控进程自身崩溃将导致安全盲区。