摘要本文手把手教你从零部署 OpenClaw 网关并通过 SSH 隧道实现安全的远程访问。涵盖 OpenClaw 安装配置、防火墙安全加固、SSH 隧道搭建含 Windows/Mac/Linux 全平台方案以及常见问题排查。无需公网暴露端口5分钟搞定安全远程管理一、前言在远程服务器管理工具层出不穷的今天OpenClaw凭借其轻量级、高性能的特点成为众多开发者的新宠。但如何安全地远程访问它避免直接将管理端口暴露在互联网上是每个运维人员必须掌握的技能。本文将带你完成一套生产级安全部署方案通过SSH 隧道实现本地安全访问彻底杜绝公网暴露风险。二、OpenClaw 安装与配置2.1 初始化配置# 首次运行生成默认配置openclaw config get gateway# 配置文件位置~/.openclaw/openclaw.json2.2 核心配置# 设置监听端口openclaw configsetgateway.port8087# 监听所有网卡为 SSH 隧道做准备openclaw configsetgateway.bindlan# 设置强密码令牌务必修改openclaw configsetgateway.auth.tokenYourStrongToken123# 配置允许的来源localhost 用于 SSH 隧道openclaw configsetgateway.controlUi.allowedOrigins[http://localhost:8087, https://localhost:8087, http://127.0.0.1:8087, https://127.0.0.1:8087]查看配置确认openclaw config get gateway输出示例{port:8087,bind:lan,controlUi:{allowedOrigins:[http://localhost:8087,https://localhost:8087,http://127.0.0.1:8087,https://127.0.0.1:8087]},auth:{mode:token,token:__OPENCLAW_REDACTED__}}三、启动服务与防火墙加固3.1 启动网关# 前台调试openclaw gateway run# 后台运行openclaw gateway run# 或设为系统服务推荐生产环境openclaw gatewayinstall检查状态确认openclaw gateway status确认显示Runtime: runningListening: *:8087bindlan (0.0.0.0)3.2 设置开机自启可选# 创建 systemd 服务sudotee/etc/systemd/system/openclaw.serviceEOF [Unit] DescriptionOpenClaw Gateway Afternetwork.target [Service] Typesimple Userroot ExecStart/root/.nvm/versions/node/v22/bin/openclaw gateway run Restartalways [Install] WantedBymulti-user.target EOFsudosystemctl daemon-reloadsudosystemctlenableopenclawsudosystemctl start openclaw3.3 关键安全步骤关闭公网访问# 禁止 8087 端口公网访问只允许本地sudoufw deny8087/tcp# 或sudoiptables-AINPUT-ptcp--dport8087-jDROP# 开放 SSH 端口示例为 26509sudoufw allow26509/tcp⚠️安全警告永远不要将 OpenClaw 管理端口直接暴露在公网四、SSH 隧道配置全平台SSH 隧道是本方案的核心它将服务器的127.0.0.1:8087映射到你本地的localhost:8087实现加密安全访问。4.1 临时连接命令行全平台通用ssh-p26509-L8087:127.0.0.1:8087 root103.47.81.189保持终端运行不要关闭4.2 后台运行推荐Mac / Linuxssh-fN-p26509-L8087:127.0.0.1:8087 root103.47.81.189关闭隧道pkill-fssh.*26509.*80874.3 配置 SSH 别名一劳永逸编辑~/.ssh/configMac/Linux或C:\Users\用户名\.ssh\configWindowsHost openclaw HostName103.47.81.189 User root Port26509LocalForward8087127.0.0.1:8087 ServerAliveInterval60ServerAliveCountMax3之后只需执行sshopenclaw4.4 Windows PuTTY 配置打开 PuTTY → SessionHost Name 填103.47.81.189Port 填26509Connection → SSH → TunnelsSource port:8087Destination:127.0.0.1:8087点击AddConnection设置Seconds between keepalives: 60点击Open连接五、浏览器访问 OpenClaw5.1 确认隧道已建立# Mac/Linuxlsof-i:8087curlhttp://localhost:8087# Windowsnetstat-an|findstr80875.2 登录使用浏览器访问http://localhost:8087配置项填写内容WebSocket URLws://localhost:8087自动填充网关令牌你设置的 token如YourStrongToken123密码可选不填点击连接开始使用六、常用命令速查表操作命令启动服务openclaw gateway run停止服务pkill openclaw或systemctl stop openclaw查看状态openclaw gateway status查看配置openclaw config get gateway修改令牌openclaw config set gateway.auth.token 新密码查看日志tail -f /tmp/openclaw/openclaw-*.log更新版本openclaw update卸载openclaw uninstall七、安全加固工信部建议# 1. 创建专用用户不要用 root 运行sudoadduser--shell/bin/rbash --disabled-password clawuser# 2. 限制文件访问权限sudochmod700/root/.openclaw# 3. 开启详细日志openclaw gateway --log-level debug/var/log/openclaw.log21# 4. 定期安全审计openclaw security audit八、故障排查指南现象原因解决方案localhost refused to connectSSH 隧道断开重新建立 SSH 连接origin not allowedCORS 配置错误检查 allowedOrigins 是否包含 localhostdisconnected (1006)WebSocket 断开刷新页面检查 OpenClaw 状态control ui requires device identity直接访问 IP必须使用 SSH 隧道或 HTTPS页面空白服务未启动服务器执行openclaw gateway run九、写在最后通过本文的方案你不仅完成了 OpenClaw 的部署更重要的是建立了一套安全的远程访问机制。SSH 隧道作为老牌的安全方案配合正确的防火墙策略能为你的服务提供企业级的安全防护。如果你在部署过程中遇到任何问题欢迎在评论区留言交流如果觉得本文对你有帮助别忘了点赞、收藏和转发让更多人看到这份安全部署指南 标签OpenClawSSH隧道远程访问安全版权声明本文为原创内容版权归作者所有转载需注明出处。