OpenClaw Skill 介绍:Healthcheck 主机安全加固
简介
Healthcheck 是一个专业的 OpenClaw Skill,用于主机安全加固和风险容忍度配置。当你需要对运行 OpenClaw 的机器(笔记本、工作站、树莓派、VPS)进行安全审计、防火墙/SSH/更新加固、风险评估、暴露审查、OpenClaw cron 定时检查或版本状态检查时,这个工具就是你的最佳选择。
核心功能
🔍 安全审计
- 系统安全状况评估
- 漏洞扫描和检测
- 配置安全检查
- 权限和访问控制审查
🛡️ 主机加固
- 防火墙规则配置
- SSH 安全设置
- 自动更新配置
- 服务最小化
📊 风险评估
- 风险容忍度配置
- 暴露面分析
- 威胁建模
- 安全建议生成
⏰ 定时检查
- OpenClaw 安全审计定时任务
- 版本状态检查
- 健康状态监控
使用方法
基础命令
| |
定时任务管理
| |
工作流程
Healthcheck Skill 遵循严格的工作流程:
阶段 0:模型自检
开始前检查当前模型,如果低于最先进水平(如 Opus 4.5、GPT 5.2+),建议切换但不阻止执行。
阶段 1:建立上下文(只读)
确定以下信息:
- 操作系统和版本(Linux/macOS/Windows),容器 vs 主机
- 权限级别(root/管理员 vs 普通用户)
- 访问路径(本地控制台、SSH、RDP、tailnet)
- 网络暴露(公网 IP、反向代理、隧道)
- OpenClaw 网关状态和绑定地址
- 备份系统和状态
- 部署上下文(本地 mac 应用、无头网关主机、远程网关、容器/CI)
- 磁盘加密状态
- 操作系统自动安全更新状态
- 使用模式(本地工作站 vs 无头/远程 vs 其他)
阶段 2:运行 OpenClaw 安全审计(只读)
作为默认只读检查的一部分,运行 openclaw security audit --deep。
阶段 3:检查 OpenClaw 版本/更新状态(只读)
作为默认只读检查的一部分,运行 openclaw update status。
阶段 4:确定风险容忍度
要求用户选择或确认风险姿态和任何需要开放的端口/服务。
阶段 5:制定修复计划
提供一个包含以下内容的计划:
- 目标配置文件
- 当前姿态摘要
- 与目标的差距
- 带确切命令的分步修复
- 访问保留策略和回滚计划
- 风险和潜在锁定场景
- 最小权限说明
- 凭证卫生说明
阶段 6:提供执行选项
- 为我执行(引导式,分步批准)
- 仅显示计划
- 仅修复关键问题
- 导出命令供以后使用
阶段 7:带确认的执行
对于每一步:
- 显示确切命令
- 解释影响和回滚
- 确认访问仍然可用
- 在意外输出时停止并征求指导
阶段 8:验证和报告
重新检查:
- 防火墙状态
- 监听端口
- 远程访问仍然有效
- OpenClaw 安全审计(重新运行)
提供最终姿态报告并记录任何延期项目。
风险配置文件
1. 家庭/工作站平衡(最常见)
- 防火墙开启,合理默认设置
- 远程访问限制在 LAN 或 tailnet
2. VPS 加固
- 默认拒绝入站防火墙
- 最小开放端口
- 仅密钥 SSH
- 禁止 root 登录
- 自动安全更新
3. 开发者便利
- 允许更多本地服务
- 显式暴露警告
- 仍然审计
4. 自定义
- 用户定义的约束(服务、暴露、更新节奏、访问方法)
安全最佳实践
始终需要明确批准的操作
- 防火墙规则更改
- 打开/关闭端口
- SSH/RDP 配置更改
- 安装/删除包
- 启用/禁用服务
- 用户/组修改
- 计划任务或启动持久性
- 更新策略更改
- 访问敏感文件或凭证
定期维护建议
- 每周运行一次基础安全审计
- 每月运行一次深度审计
- 保持 OpenClaw 更新到最新版本
- 定期检查定时任务执行情况
- 审查和更新风险配置文件
总结
Healthcheck Skill 是 OpenClaw 生态系统中至关重要的安全工具。它不仅帮助你了解当前系统的安全状况,更提供了一套完整的工作流程来加固你的主机、管理风险,并保持长期的安全状态。
在 AI 助手可以访问你系统的时代,安全不再是可选项,而是必需品。Healthcheck Skill 让安全加固变得系统化、可管理,让每个人都能拥有专业级的安全保护。
记住:安全是一个过程,而不是一个目的地。