当前位置：首页 > article >正文

从零开始：OpenClaw 安全远程访问完全指南（SSH隧道实战版）

article 2026/3/19 7:46:14

摘要本文手把手教你从零部署 OpenClaw 网关并通过 SSH 隧道实现安全的远程访问。涵盖 OpenClaw 安装配置、防火墙安全加固、SSH 隧道搭建含 Windows/Mac/Linux 全平台方案以及常见问题排查。无需公网暴露端口5分钟搞定安全远程管理一、前言在远程服务器管理工具层出不穷的今天OpenClaw凭借其轻量级、高性能的特点成为众多开发者的新宠。但如何安全地远程访问它避免直接将管理端口暴露在互联网上是每个运维人员必须掌握的技能。本文将带你完成一套生产级安全部署方案通过SSH 隧道实现本地安全访问彻底杜绝公网暴露风险。二、OpenClaw 安装与配置2.1 初始化配置# 首次运行生成默认配置openclaw config get gateway# 配置文件位置~/.openclaw/openclaw.json2.2 核心配置# 设置监听端口openclaw configsetgateway.port8087# 监听所有网卡为 SSH 隧道做准备openclaw configsetgateway.bindlan# 设置强密码令牌务必修改openclaw configsetgateway.auth.tokenYourStrongToken123# 配置允许的来源localhost 用于 SSH 隧道openclaw configsetgateway.controlUi.allowedOrigins[http://localhost:8087, https://localhost:8087, http://127.0.0.1:8087, https://127.0.0.1:8087]查看配置确认openclaw config get gateway输出示例{port:8087,bind:lan,controlUi:{allowedOrigins:[http://localhost:8087,https://localhost:8087,http://127.0.0.1:8087,https://127.0.0.1:8087]},auth:{mode:token,token:__OPENCLAW_REDACTED__}}三、启动服务与防火墙加固3.1 启动网关# 前台调试openclaw gateway run# 后台运行openclaw gateway run# 或设为系统服务推荐生产环境openclaw gatewayinstall检查状态确认openclaw gateway status确认显示Runtime: runningListening: *:8087bindlan (0.0.0.0)3.2 设置开机自启可选# 创建 systemd 服务sudotee/etc/systemd/system/openclaw.serviceEOF [Unit] DescriptionOpenClaw Gateway Afternetwork.target [Service] Typesimple Userroot ExecStart/root/.nvm/versions/node/v22/bin/openclaw gateway run Restartalways [Install] WantedBymulti-user.target EOFsudosystemctl daemon-reloadsudosystemctlenableopenclawsudosystemctl start openclaw3.3 关键安全步骤关闭公网访问# 禁止 8087 端口公网访问只允许本地sudoufw deny8087/tcp# 或sudoiptables-AINPUT-ptcp--dport8087-jDROP# 开放 SSH 端口示例为 26509sudoufw allow26509/tcp⚠️安全警告永远不要将 OpenClaw 管理端口直接暴露在公网四、SSH 隧道配置全平台SSH 隧道是本方案的核心它将服务器的127.0.0.1:8087映射到你本地的localhost:8087实现加密安全访问。4.1 临时连接命令行全平台通用ssh-p26509-L8087:127.0.0.1:8087 root103.47.81.189保持终端运行不要关闭4.2 后台运行推荐Mac / Linuxssh-fN-p26509-L8087:127.0.0.1:8087 root103.47.81.189关闭隧道pkill-fssh.*26509.*80874.3 配置 SSH 别名一劳永逸编辑~/.ssh/configMac/Linux或C:\Users\用户名\.ssh\configWindowsHost openclaw HostName103.47.81.189 User root Port26509LocalForward8087127.0.0.1:8087 ServerAliveInterval60ServerAliveCountMax3之后只需执行sshopenclaw4.4 Windows PuTTY 配置打开 PuTTY → SessionHost Name 填103.47.81.189Port 填26509Connection → SSH → TunnelsSource port:8087Destination:127.0.0.1:8087点击AddConnection设置Seconds between keepalives: 60点击Open连接五、浏览器访问 OpenClaw5.1 确认隧道已建立# Mac/Linuxlsof-i:8087curlhttp://localhost:8087# Windowsnetstat-an|findstr80875.2 登录使用浏览器访问http://localhost:8087配置项填写内容WebSocket URLws://localhost:8087自动填充网关令牌你设置的 token如YourStrongToken123密码可选不填点击连接开始使用六、常用命令速查表操作命令启动服务openclaw gateway run停止服务pkill openclaw或systemctl stop openclaw查看状态openclaw gateway status查看配置openclaw config get gateway修改令牌openclaw config set gateway.auth.token 新密码查看日志tail -f /tmp/openclaw/openclaw-*.log更新版本openclaw update卸载openclaw uninstall七、安全加固工信部建议# 1. 创建专用用户不要用 root 运行sudoadduser--shell/bin/rbash --disabled-password clawuser# 2. 限制文件访问权限sudochmod700/root/.openclaw# 3. 开启详细日志openclaw gateway --log-level debug/var/log/openclaw.log21# 4. 定期安全审计openclaw security audit八、故障排查指南现象原因解决方案localhost refused to connectSSH 隧道断开重新建立 SSH 连接origin not allowedCORS 配置错误检查 allowedOrigins 是否包含 localhostdisconnected (1006)WebSocket 断开刷新页面检查 OpenClaw 状态control ui requires device identity直接访问 IP必须使用 SSH 隧道或 HTTPS页面空白服务未启动服务器执行openclaw gateway run九、写在最后通过本文的方案你不仅完成了 OpenClaw 的部署更重要的是建立了一套安全的远程访问机制。SSH 隧道作为老牌的安全方案配合正确的防火墙策略能为你的服务提供企业级的安全防护。如果你在部署过程中遇到任何问题欢迎在评论区留言交流如果觉得本文对你有帮助别忘了点赞、收藏和转发让更多人看到这份安全部署指南标签OpenClawSSH隧道远程访问安全版权声明本文为原创内容版权归作者所有转载需注明出处。

从零开始：OpenClaw 安全远程访问完全指南（SSH隧道实战版）

相关文章：

从零开始：OpenClaw 安全远程访问完全指南（SSH隧道实战版）

100多套减速机齿轮，齿轮轴CAD图纸

文件io：二、系统io和api

shell脚本语言知识点总结

SEO_详解SEO关键词研究的完整步骤与工具推荐

消息中间件RabbitMQ04：路由模式+死信队列的应用实践模板

RPC核心原理：组件与调用流程

二十、kubernetes基础-30-kubernetes-ha-binary-deployment-07-dns-operations

刚刚！GPT-5.4 mini/nano正式发布，轻量编程模型性能逼近满血版

玄晶引擎XgenCore Works V2.8.1升级解析技术迭代赋能场景代理模式全新落地

Springboot项目常用工具对比总结

Part 1：Python语言核心 - 内建数据类型

RK3588 OpenClaw 定时任务踩坑与守护进程方案

SEO_长期有效的SEO策略应该如何规划与执行？

破解root密码

秋叶大神ComfyUI

为什么世界仍然运行在 SAP 上？——传统企业软件的顽强生命力

金仓数据库SQL防火墙构建主动防御，让恶意SQL无处遁形

RK3588部署yolov8量化精度对比

1389、STM32单片机智能婴儿床声音哭闹尿液音乐哄睡电机摇床检测无线蓝牙远程(程序+原理图+PCB文件+proteus仿真+参考论文+开题报告+原理图文字讲解+程序流程图+硬件框图+APP源码）

Flutter 迁移鸿蒙 ArkUI 的真实成本

【大模型的原理架构对比解析】Encoder-Decoder 架构与 Decoder-Only 架构的输入输出详解

YOLO26改进98：全网首发--c3k2模块添加CSSC模块：在长程依赖中捕获列间关系，通过融合列、空间及自依赖信息

Flink知识点（二）｜Flink中是怎么处理乱序数据的

庭院桌椅一上AI就穿帮，我后来这样挑工具

30+北漂程序员2个月零基础闯入大模型圈，拿下2W+高薪Offer的逆袭之路！别再困在“想转行”的内耗里！

计算复杂性：P、NP、NP-hard、NP-complete 一篇通关

深度测评：GPT-5.4 vs Claude 3.5 vs Gemini 3.1 Pro——图片与短视频生成能力全面对比

JAVAee---计算机是如何运行的？

uc/os-II操作系统时钟节拍器