大家好，我是张少！

为什么WSL2反而更安全？

OpenClaw 官方文档明确指出：在 Windows 上，强烈推荐在 WSL2 下运行 OpenClaw。GitHubWSL2本质上是一个轻量级虚拟机，OpenClaw运行在Ubuntu内核中，与Windows主系统文件和园艺隔离——这在Windows上运行时是无法获得额外的保护层的。

一、基础安全检查（必须先做）

👉 目的：先搞清当前是否存在风险

步骤 1：进入 OpenClaw 目录

cd ~/OpenClaw

步骤 2：执行深度安全审计

openclaw security audit --deep

步骤 3：检查版本状态

openclaw update status

重点检查项：

• 配置文件权限是否过宽
• 是否存在敏感信息泄露（token / env）
• 网关是否绑定 0.0.0.0
• 插件是否有高危配置

二、WSL 网络安全加固（非常关键）

👉 WSL 默认会“暴露端口给 Windows”，这是最大风险点之一

步骤 1：修改 WSL 配置

sudo mkdir -p /etc/wsl.conf
sudo nano /etc/wsl.conf

写入：

[network]
generateHosts = false
generateResolvConf = false

保存后重启 WSL：

wsl --shutdown

步骤 2：限制 Windows 防火墙访问

在 Windows 上操作：

路径：

👉 Windows Defender 防火墙 → 高级设置

创建规则：

• 入站规则 → 新建规则
• 限制端口（默认 8080）
• 只允许 127.0.0.1（本机）访问
• 禁止公网访问

三、OpenClaw 配置文件加固

👉 防止服务被远程访问或劫持

步骤 1：备份配置

cp ~/.openclaw/gateway.config.json ~/.openclaw/gateway.config.json.bak

---

步骤 2：编辑配置

nano ~/.openclaw/gateway.config.json

必改关键项（核心安全点）：

{
  "host": "127.0.0.1",
  "port": 8080,
  "authEnabled": true
}

说明：

• ❌ 不要用 0.0.0.0
• ✅ 必须开启认证
• ✅ 限制本地访问

四、文件权限加固（防止本机泄露）

👉 防止其他用户或恶意程序读取配置

---

执行以下命令：

chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/gateway.config.json

chmod 700 ~/.openclaw/workspace

保护敏感文件：

find ~/.openclaw -name "*.env" -exec chmod 600 {} \;
find ~/.openclaw -name "*token*" -exec chmod 600 {} \;

五、磁盘加密（防物理攻击）

👉 电脑丢失 = 数据泄露，这是很多人忽略的点

Windows 端（强烈建议）

开启 BitLocker：

• 搜索：BitLocker
• 启用系统盘 + 数据盘加密

WSL 数据检查

wsl --list --verbose

确认虚拟磁盘：

ext4.vhdx

👉 必须存放在已加密磁盘中

---

六、自动安全更新（防漏洞）

👉 不更新 = 等于裸奔

步骤 1：启用 Ubuntu 自动更新

sudo apt update
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

---

步骤 2：OpenClaw 自动检查更新

openclaw cron add --name "healthcheck:update-status" \
  --schedule '{"kind":"every","everyMs":604800000}' \
  --payload '{"kind":"systemEvent","text":"运行版本检查"}'

---

七、定期安全审计（必须做）

👉 安全不是一次性工作

创建每周自动审计

openclaw cron add --name "healthcheck:security-audit" \
  --schedule '{"kind":"cron","expr":"0 2 * * 0","tz":"Asia/Shanghai"}' \
  --payload '{"kind":"systemEvent","text":"执行安全审计"}'

👉 每周日凌晨 2 点自动执行

八、备份机制（防误删 / 崩溃）

👉 没备份 = 所有安全措施白做

创建备份脚本

cat > ~/backup-openclaw.sh << 'EOF'
#!/bin/bash
DATE=$(date +%Y%m%d)
BACKUP_DIR=~/backups/openclaw
mkdir -p $BACKUP_DIR
tar -czf $BACKUP_DIR/openclaw-$DATE.tar.gz ~/.openclaw
echo "备份完成：$BACKUP_DIR/openclaw-$DATE.tar.gz"
EOF

---

设置执行权限

chmod +x ~/backup-openclaw.sh

---

手动执行备份

~/backup-openclaw.sh

---

九、安全验证（最后必须检查）

👉 做完加固必须验证

---

检查端口绑定

ss -ltnp | grep openclaw

✔ 正确结果：

127.0.0.1:8080

---

检查权限

ls -la ~/.openclaw/gateway.config.json

✔ 应为：

-rw-------

---

再次安全审计

openclaw security audit

---

检查服务状态

openclaw gateway status

十、三种安全策略选择（推荐）

⚠️ 最重要的安全原则（一定要记住）

• ❌ 不要绑定 0.0.0.0
• ❌ 不要开放公网访问
• ✅ 开启认证
• ✅ 开启磁盘加密
• ✅ 定期审计 + 备份
• ✅ 所有账号开启 2FA