僅僅將 OpenClaw 搬上 VPS 是不夠的。如果你的 VPS 配置不當,它同樣會成為駭客入侵你企業內網的跳板。這篇文章將專注於網路層級的硬核配置,教你如何利用 立京 VPS 提供的自主權,打造一座資訊堡壘。
本篇目錄
一、 DNS 加固:切斷 AI 的「通訊暗哨」
許多惡意 Skill 會透過 DNS Tunneling 來外傳資料。
1. 使用過濾式 DNS
在 VPS 上,建議將 DNS 修改為 Cloudflare (1.1.1.1) 或具有安全過濾功能的服務。
# 修改 /etc/resolv.conf 或使用 netplan
nameservers:
addresses: [1.1.1.2, 1.0.0.2] # 攔截惡意網域
2. 防範 mDNS 暴露
OpenClaw 預設會廣播自己的存在。在 VPS 的雲端環境中,這毫無必要且危險。
sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon
二、 防火牆架構:三層過濾機制
在立京 VPS,你可以完全控制流量進出。
- 第一層:入站封鎖。 只允許 SSH。Bash
sudo ufw default deny incoming sudo ufw allow 22/tcp - 第二層:出站白名單(進階)。 如果你的 OpenClaw 只需要存取 OpenAI API,你可以限制 VPS 僅能與該 IP 段通訊,防止資料被傳送到不明伺服器。
- 第三層:SSH Tunnel。 這是解決 CVE-2026-25253 的終極武器。
- 在 OpenClaw 設定中,將 Web UI 綁定在
localhost。 - 在本地端下指令:
ssh -L 8080:localhost:8080 user@your-vps-ip - 如此一來,UI 流量會透過 SSH 加密通道傳輸,外界完全無法掃描到你的服務。
- 在 OpenClaw 設定中,將 Web UI 綁定在
三、 使用 Nginx 反向代理增加認證層
即使 OpenClaw 有密碼保護,多一層 Basic Auth 或 OAuth 總是不嫌多。
透過立京 VPS 的 root 權限安裝 Nginx:
location / {
auth_basic "Developer Only";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://localhost:8080;
}
這能有效抵禦針對 OpenClaw 漏洞的自動化掃描器(Scanners)。
四、 結論
進階的安全配置雖然繁瑣,但能讓你安心享受 AI 帶來的自動化。立京資訊提供的開放式環境,正是實踐這些安全配置的最佳舞台。