1. 项目概述：为AI Agent部署加上“安全锁”

如果你正在为团队或个人项目部署OpenClaw这类AI Agent，并且对“一键部署，全网畅通”的默认状态感到不安，那么你很可能已经意识到了一个问题：一个能自由访问互联网的AI，其行为边界在哪里？它会不会在你不知情的情况下，将敏感数据发送到某个外部API？或者，你是否需要向你的安全团队或客户证明，这个部署是受控的、可审计的？这正是 openclaw-secure-kit 要解决的核心痛点。

简单来说， openclaw-secure-kit 是一个为OpenClaw在Ubuntu系统上部署而设计的“安全加固套件”。它的核心思想是 “安全默认配置” 和 “策略驱动加固” 。它不会帮你从零搭建主机或安装Docker，而是在你已有的Ubuntu+Docker环境之上，套上一层可验证的“安全护栏”。这套工具能根据你选择的“策略模板”，自动生成一个硬化的、可复现的部署包，并提供一个一键验证命令，输出一份人机可读的安全报告。对于需要满足内部安全审计、合规要求，或单纯希望提升AI应用部署安全性的开发者和运维工程师来说，这是一个非常实用的工具。

2. 核心设计思路与安全模型拆解

2.1 为什么需要“出口守卫”？

在传统的应用部署中，我们关注的是“入口安全”，比如防火墙只开放必要的端口。但对于一个AI Agent，尤其是具备代码执行、网络访问能力的Agent，其“出口”（Egress）行为同样关键。一个不受控的AI Agent可能：

1. 数据泄露 ：将处理中的内部数据发送到未经授权的第三方服务。
2. 滥用资源 ：访问恶意或消耗大量资源的网络端点。
3. 合规风险 ：违反数据驻留或网络访问策略。

因此， openclaw-secure-kit 的设计首要目标就是实现 “出口过滤” ，即控制容器能访问哪些外部网络资源。它主要从两个层面实现：

1. DNS层面控制 ：通过配置容器内的DNS解析策略，只允许解析预先设定好的域名白名单。任何不在白名单内的域名请求，在DNS解析阶段就会被拒绝。
2. 主机防火墙层面控制 ：在宿主机上使用 nftables （现代Linux的防火墙后端）设置规则，只允许容器网络访问特定的IP地址和端口，进一步收紧网络边界。

这种双重防护构成了第一道，也是当前版本最核心的防线。

2.2 “策略模板”驱动的可复现部署

项目采用“策略模板”机制，这是一个非常聪明的设计。它避免了每次部署都需要手动编写复杂防火墙规则和配置文件的繁琐和易错。

• 什么是策略模板？ 一个策略模板（如自带的 research-only ）定义了一整套安全配置：允许访问的域名列表、网络暴露方式、容器运行权限等。你可以把它看作一个针对特定场景（如“仅供内部研究”、“生产环境”、“严格审计环境”）的安全蓝图。
• 工作流程 ：当你执行 ocs install --profile research-only 时，工具会根据该模板的配置，在 out/research-only/ 目录下生成完整的部署包。这个包是自包含的，包含了适配好的 docker-compose.yml 、环境变量文件 .env 等。这意味着，你可以在开发机生成配置，然后原封不动地复制到生产服务器上运行，确保环境的一致性。
• 可审计性 ：由于所有配置都是基于模板生成的纯文本文件，你可以轻松地使用 diff 工具对比不同版本或不同模板的配置差异，也方便纳入版本控制系统（如Git）进行管理。这对于需要变更记录和审计追踪的场景至关重要。

2.3 “信任但要验证”的核心理念

部署了安全配置不等于安全状态持续有效。 ocs doctor 命令就是这个理念的体现。它不是一个简单的“健康检查”，而是一个 “安全态势验证器” 。

它会主动检查：

• 主机级配置 ： nftables 规则是否正确加载并生效？相关系统服务是否运行？
• 运行时状态 ：Docker容器是否以非root用户运行？敏感的环境变量（如令牌）是否已正确外部化配置？容器是否被挂载了危险的目录（如Docker套接字）？
• 网络策略符合性 ：实际网络访问能力是否与策略模板的声明一致？

检查完成后，它会生成两份报告：一份给运维人员看的详细诊断报告（ doctor-report.md ），另一份是精简的、可以直接提交给安全或合规团队的安全报告（ security-report.md ）。这种将技术验证转化为可交付审计证据的能力，极大地简化了安全协作流程。

注意 ：项目文档明确指出了v1版本的局限性。它提供的是 “护栏” ，而非 “牢笼” 。最关键的局限在于，它主要通过DNS白名单进行控制，而一个恶意或有缺陷的程序仍然可能尝试通过IP地址直接建立HTTPS连接。虽然主机防火墙（ nftables ）可以提供第二层防护，但完全杜绝此类“IP直连”绕过需要更复杂的技术（如网络策略或代理）。因此，在向利益相关方说明时，务必清晰传达其防护边界，避免过度承诺。

3. 从零到一的完整部署与加固实操

3.1 环境准备与前置条件

在开始之前，请确保你的环境满足以下要求，这是所有后续操作的基础：

1. 操作系统 ：Ubuntu 22.04 LTS 或 24.04 LTS。这是项目明确测试和支持的版本，其他发行版可能会遇到依赖库或内核模块的兼容性问题。
2. Docker环境 ：已安装并运行正常的Docker Engine以及Docker Compose（V2）。你可以通过 docker --version 和 docker compose version 来验证。
3. 网络权限 ：主机需要能正常访问互联网，以下载Docker镜像和必要的软件包。
4. 权限准备 ：后续的安装和验证命令大多需要 sudo 权限，因为它会操作系统级的防火墙和服务。

一个快速的预检命令组合可以是：

# 检查系统版本
lsb_release -a
# 检查Docker
docker --version
docker compose version
# 检查sudo权限（通常已在sudo组）
sudo -v

3.2 安装安全套件工具

项目提供了两种安装方式：克隆仓库安装和管道安装。对于生产环境， 强烈建议使用克隆仓库的方式 ，以便审查安装脚本。

方式一：克隆仓库安装（推荐）

# 1. 克隆项目仓库
git clone https://github.com/NinoSkopac/openclaw-secure-kit
cd openclaw-secure-kit

# 2. 审查安装脚本（安全最佳实践）
cat install.sh

# 3. 执行安装
chmod +x install.sh
sudo ./install.sh

安装脚本 install.sh 会执行以下关键操作：

• 将 ocs 命令行工具安装到系统路径（默认 /usr/local/bin ）。
• 安装必要的系统依赖（如 nftables 、 jq 等）。
• 配置相关的系统服务单元。

你可以使用 --dry-run 参数来预览安装脚本将要执行的操作，而不实际执行：

sudo ./install.sh --dry-run

方式二：管道安装（快速体验） 如果你信任源且环境干净，可以使用此方式快速安装。但请注意，这存在潜在的安全风险（中间人攻击、脚本变更等）。

curl -fsSL https://raw.githubusercontent.com/NinoSkopac/openclaw-secure-kit/refs/heads/main/install.sh | sudo bash

安装完成后，验证 ocs 命令是否可用：

ocs --help

你应该能看到 install 、 doctor 等子命令的说明。

3.3 生成并启动一个硬化的OpenClaw部署

接下来，我们将使用内置的 research-only 策略模板来生成一个部署。这个模板预设了一套相对严格但适用于大多数内部研发场景的配置。

# 1. 使用 research-only 模板生成部署包
sudo ocs install --profile research-only

执行成功后，当前目录下会生成一个 out/research-only/ 文件夹。让我们查看一下里面的关键内容：

ls -la out/research-only/
# 你会看到类似以下文件：
# .env                    # 环境变量，包含端口、令牌等
# docker-compose.yml      # 生成的Docker Compose配置
# security-report.md      # （初始为空，由doctor生成）
# doctor-report.md        # （初始为空，由doctor生成）

关键文件解析：

• .env ：这是部署的核心配置文件。 务必在启动前检查它 ，特别是 OPENCLAW_GATEWAY_PORT 和 OPENCLAW_GATEWAY_TOKEN 。端口如果与现有服务冲突，安装程序会自动调整。令牌是随机的，用于网关认证。
• docker-compose.yml ：这个文件是基于模板生成的，它已经集成了安全配置，例如使用非root用户运行容器、设置tmpfs卷用于临时数据、配置内部网络等。 不要直接修改这个文件 ，因为下次重新生成时会覆盖。任何自定义都应该通过创建新的策略模板来实现。

现在，启动这个加固后的OpenClaw栈：

# 2. 进入输出目录并使用生成的配置启动服务
cd out/research-only
docker compose --env-file .env up -d

使用 -d 参数让服务在后台运行。你可以用以下命令查看服务状态和日志：

docker compose --env-file .env ps
docker compose --env-file .env logs -f openclaw-gateway

3.4 执行安全验证并获取报告

部署启动后，最重要的一步来了：验证安全配置是否如预期般生效。

# 回到项目根目录，或确保在能访问 ocs 命令的地方
# 执行安全验证（必须使用sudo以检查主机防火墙）
sudo ocs doctor --profile research-only --verbose

--verbose 参数会输出详细的检查过程。命令执行后，会做两件事：

1. 在终端输出一个检查结果摘要。
2. 在 out/research-only/ 目录下更新（或创建） security-report.md 和 doctor-report.md 两个报告文件。

解读报告：

• 终端摘要 ：会显示 DOCTOR 和 SECURITY 两部分的 PASS 、 WARN 、 FAIL 计数。任何 FAIL 项都意味着当前部署不符合安全策略，需要立即处理。
• security-report.md ：这是给安全团队看的“成绩单”。它用清晰的语言列出了各项安全控制措施（如“容器以非root用户运行”、“DNS白名单已启用”、“主机防火墙规则已配置”）的检查结果。你可以直接把这个文件发给相关人员。
• doctor-report.md ：这是给技术人员看的“诊断日志”。它包含了更详细的技术细节、检查命令和原始输出，用于排查问题。

现在，查看你的安全报告：

cat out/research-only/security-report.md

一份合规的报告是你工作成果的最佳证明。

4. 深入核心：策略模板与网络加固原理

4.1 解剖一个策略模板

虽然项目自带了 research-only 模板，但理解其结构是进行自定义的基础。策略模板通常位于项目源码的 profiles/ 目录下（具体位置请参考项目文档）。一个模板可能包含以下部分：

1. 域名白名单列表 ：定义允许容器解析和访问的域名。这是出口控制的第一关。模板可能会将域名分类，例如：

   • allowed_domains.core : OpenClaw运行所必需的基础服务域名（如Docker镜像仓库、必要的API端点）。
   • allowed_domains.research : 研究场景下允许访问的AI模型API、知识库等。
   • allowed_domains.optional : 可选的工具或服务域名。

2. 网络策略 ：

   • network.mode : 定义网关服务的暴露模式，如 loopback （仅本地访问）或 public （绑定到所有网络接口）。 默认应为 loopback 以确保最小暴露 。
   • network.direct_ip_policy : 处理直接IP访问的策略， warn （警告）或 fail （使验证失败）。这对应了之前提到的局限性。

3. 容器运行时配置 ：

   • 强制以非root用户（如UID 1000）运行容器。
   • 配置只读的根文件系统（ readonly_rootfs ），或至少将敏感目录挂载为只读。
   • 使用 tmpfs 挂载临时目录（如 /home/node/.openclaw/canvas ），确保容器停止后数据不残留，也避免了宿主机目录权限问题。

4. 环境变量预设 ：生成 .env 文件时的默认值，如端口号、日志级别等。

当你运行 ocs install 时，工具会读取模板，将这些声明式的配置“编译”成具体的、可执行的 docker-compose.yml 和系统配置。

4.2 DNS白名单与nftables的协同工作原理

这是本套件安全能力的核心。让我们拆解一下数据包的旅程：

1. 容器内进程发起请求 ：例如，OpenClaw中的某个功能试图访问 https://api.openai.com 。
2. DNS解析阶段（第一道关卡） ：
   • 容器的DNS请求被导向一个受控的DNS解析器（可能是容器内配置的，也可能是宿主机的某个服务）。
   • 该解析器检查请求的域名是否在策略模板定义的 白名单 内。
   • 如果在白名单内 ：正常解析，返回IP地址。
   • 如果不在白名单内 ：返回 NXDOMAIN （域名不存在）或一个特殊的拦截IP（如 127.0.0.1 ）。 请求在此处被扼杀 。
3. 网络出站阶段（第二道关卡） ：
   • 假设域名解析成功，容器进程获得IP，开始建立TCP连接（如向 52.152.96.252 的443端口发起连接）。
   • 数据包从容器的网络命名空间进入宿主机的网络栈。
   • 宿主机上的 nftables 防火墙规则开始起作用。这些规则是在部署时由 ocs install 配置的。
   • nftables 规则会检查数据包的源（来自Docker网桥）、目的地IP和端口。
   • 规则集可能被设计为“默认拒绝”，只放行通往特定IP段（如已知的AI服务IP）或端口的流量。即使域名解析被绕过（例如进程使用硬编码IP）， 这一层的过滤仍然可能阻止连接 。
4. 连接建立 ：只有同时通过DNS和 nftables 两层检查的数据包，才能最终离开宿主机，访问互联网。

实操心得 ：这种分层防御是有效的，但并非无懈可击。一个知晓IP地址的恶意负载仍然可能尝试连接。因此， ocs doctor 的 --strict-ip-egress 选项或配置 direct_ip_policy: fail 非常重要。它会尝试检测并警告此类可能绕过DNS控制的直接IP访问行为，让你对安全边界有更清醒的认识。

4.3 创建与定制你自己的策略模板

如果你需要调整允许的域名、改变网络暴露方式，或者为不同环境（开发、测试、生产）设置不同严格级别的策略，你就需要创建自定义模板。

基本步骤：

1. 复制并重命名基础模板 ：在项目结构中，找到基础模板（例如 profiles/research-only.yml ），将其复制一份，如 profiles/my-production.yml 。
2. 修改配置 ：使用YAML编辑器，谨慎修改以下关键部分：
   • allowed_domains ：增删改你的域名列表。确保你了解每个被允许的域名对应的服务及其必要性。
   • network.mode ：生产环境可能仍使用 loopback ，并通过反向代理（如Nginx）对外暴露，以增加SSL、负载均衡和访问日志能力。
   • 其他安全参数，如是否启用更严格的Seccomp配置。
3. 测试模板 ：使用你的新模板生成部署进行测试。

   sudo ocs install --profile my-production
   cd out/my-production
   docker compose --env-file .env up -d
   sudo ocs doctor --profile my-production
   

4. 迭代与版本控制 ：将你自定义的 profiles/my-production.yml 纳入你的版本控制系统，与你的应用代码一同管理。

注意事项 ：

• 最小权限原则 ：只添加业务绝对必需的域名。每增加一个域名，攻击面就扩大一分。
• 理解依赖 ：OpenClaw本身可能依赖一些基础服务（如包管理器、语言模型下载源）。在收紧策略时，务必进行充分的功能测试，确保核心功能不受影响。
• IP直连风险 ：始终牢记DNS白名单的局限。对于安全要求极高的环境，需要考虑结合云供应商的安全组、容器网络接口（CNI）插件（如Calico的网络策略）或专用代理来实现更彻底的出口控制。

5. 运维、排错与进阶指南

5.1 日常运维命令速查

部署完成后，以下命令将帮助你进行日常管理：

操作	命令	说明
查看服务状态	docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env ps	检查容器运行状态。
查看服务日志	docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env logs -f <service_name>	实时追踪某个服务（如 openclaw-gateway ）的日志。
停止服务	docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env down	停止并移除容器。
重启服务	docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env restart	重启容器。
更新配置后重启	1. 重新生成部署包: sudo ocs install --profile <profile> 2. 重启服务: docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env up -d --force-recreate	修改模板后，需重新生成并强制重建容器。
执行安全验证	sudo ocs doctor --profile <profile>	定期或变更后运行，确保安全状态。
进入容器调试	docker compose -f out/<profile>/docker-compose.yml --env-file out/<profile>/.env exec <service_name> sh	进入容器内部执行命令。

5.2 常见问题排查实录

在实际使用中，你可能会遇到以下典型问题：

问题1： ocs doctor 报告 nftables 规则 FAIL 。

• 现象 ：安全验证失败，提示防火墙规则未加载或与预期不符。
• 排查思路 ：
  1. 检查nftables服务状态 ： sudo systemctl status nftables 。确保服务是 active (running) 。
  2. 手动查看规则 ： sudo nft list ruleset 。检查是否存在由 openclaw-secure-kit 创建的链和规则（通常有特定注释）。
  3. 可能原因 ：系统重启后，自定义的nftables规则可能丢失（如果未持久化）。安装脚本通常会处理持久化，但某些系统配置可能冲突。
• 解决方案 ：尝试重新运行安装脚本或使用 ocs install 重新应用配置。如果问题持续，检查 /etc/nftables.conf 或 systemd 服务文件，确保规则在启动时被正确加载。

问题2：OpenClaw功能异常，无法访问某些外部API。

• 现象 ：AI Agent报告网络错误，或无法调用预期的模型服务。
• 排查思路 ：
  1. 首先检查安全报告 ：确认 ocs doctor 是否全部通过。任何 FAIL 都可能影响网络。
  2. 在容器内测试DNS解析 ：

     docker compose exec openclaw-gateway nslookup api.openai.com
     

     如果返回 NXDOMAIN 或一个非真实IP，说明该域名不在白名单内。
  3. 在容器内测试网络连通性 ：

     docker compose exec openclaw-gateway curl -v https://api.openai.com
     

     观察是DNS解析失败，还是TCP连接被拒绝。
• 解决方案 ：将缺失的必要域名添加到你的策略模板的 allowed_domains 列表中，然后重新生成部署并重启服务。

问题3：端口冲突，服务启动失败。

• 现象 ： docker compose up 时提示端口 18789 或 18790 已被占用。
• 排查思路 ： ocs install 命令本身具备端口冲突检测和自动重选功能。检查生成的 out/<profile>/.env 文件，看 OPENCLAW_GATEWAY_PORT 等端口变量是否已被自动修改为一个新值。
• 解决方案 ：使用新端口连接你的OpenClaw客户端。或者，手动停止占用端口的进程，然后删除 out/<profile>/ 目录，重新运行 ocs install 以使用默认端口。

问题4： tmpfs 挂载未生效或权限错误。

• 现象 ：容器日志提示无法写入 /home/node/.openclaw/canvas 等目录。
• 排查思路 ：正如项目Troubleshooting所述， tmpfs 挂载在 docker inspect 的 .Mounts 字段中不可见。需要使用正确的方式检查。
• 验证命令 ：

  # 获取容器ID
  CID=$(docker compose -f out/research-only/docker-compose.yml --env-file out/research-only/.env ps -q openclaw-gateway)
  # 检查Tmpfs配置
  docker inspect $CID --format '{{json .HostConfig.Tmpfs}}' | jq .
  # 进入容器查看挂载点
  docker compose -f out/research-only/docker-compose.yml --env-file out/research-only/.env exec openclaw-gateway sh -c 'mount | grep openclaw'
  

• 解决方案 ：如果 tmpfs 未正确配置，可能是Docker Compose模板生成有问题。尝试重新运行 ocs install 。如果问题依旧，检查宿主机的Docker版本和内核是否支持相关功能。

5.3 安全加固的进阶考量

openclaw-secure-kit 提供了一个优秀的基础，但在追求更高安全等级时，你可以考虑以下额外措施：

1. 镜像安全 ：

   • 使用最小化基础镜像 ：确保OpenClaw的Docker镜像本身基于Alpine或Distroless等最小化镜像构建，减少攻击面。
   • 镜像签名与验证 ：如果可能，配置Docker Content Trust (DCT) 来验证镜像的签名，防止镜像被篡改。
   • 定期扫描漏洞 ：使用 docker scan 或集成Snyk、Trivy等工具到CI/CD流水线中，定期扫描运行中的镜像是否存在已知漏洞。

2. 运行时安全 ：

   • 启用Seccomp和AppArmor ：Docker支持通过安全配置文件（Seccomp、AppArmor）进一步限制容器的系统调用和能力。 openclaw-secure-kit 可能已经应用了基础配置，你可以根据业务需要定制更严格的配置文件。
   • 资源限制 ：在 docker-compose.yml 中为服务设置CPU、内存限制，防止资源耗尽攻击。

3. 网络安全增强 ：

   • 专用网络 ：为OpenClaw服务创建独立的Docker自定义网络，与其他容器隔离。
   • 出口代理 ：对于需要严格控制的场景，可以强制所有容器的出口流量经过一个HTTP/HTTPS代理（如Squid），在代理层实施更精细的URL过滤和身份认证。这能有效解决“IP直连绕过”问题。
   • 网络策略 ：在Kubernetes环境中，可以使用NetworkPolicy；在Docker Swarm或使用Calico等CNI插件的环境中，也可以实现类似的Pod/容器级网络隔离策略。

4. 宿主机加固 ：

   • 定期更新 ：确保Ubuntu宿主机的系统、Docker引擎及所有依赖包保持最新。
   • 审计日志 ：启用并集中收集宿主机和Docker的审计日志（如使用 auditd ），监控异常行为。
   • 非特权运行 ：确保Docker守护进程和容器都以非root用户运行（ openclaw-secure-kit 已处理容器部分）。

将 openclaw-secure-kit 视为你安全蓝图中的关键一环，而非全部。结合上述进阶实践，你可以构建一个深度防御的AI应用部署环境。这套工具最大的价值在于它将复杂的安全配置标准化、自动化，并提供了可验证的输出，让安全从一种模糊的理念变成了可测量、可交付的具体成果。