Security Audit Dojo

Kiểm tra và củng cố phòng thủ cho OpenClaw của bạn

Tiến độ tổng 0%

0/24 kiểm tra hoàn thành

🔍 Port Guard Scanner

Kiểm tra xem gateway port có bị expose ra ngoài không

IP Address

Port

Gateway chỉ bind đến 127.0.0.1

💡 Không bao giờ bind đến 0.0.0.0 trên mạng không tin cậy

netstat -tlnp | grep 18789

Kiểm tra file config ~/.OpenClaw.json và đảm bảo host là "127.0.0.1" thay vì "0.0.0.0".

Firewall chặn port 18789 từ bên ngoài

💡 Ngăn chặn truy cập mạng trái phép

sudo ufw status | grep 18789

Trên Linux: sudo ufw deny 18789. Trên macOS: System Preferences > Security > Firewall.

Không port forward 18789 trên router

💡 Kiểm tra admin panel của router

Đăng nhập vào router (thường là 192.168.1.1) và kiểm tra mục Port Forwarding.

Dùng VPN/SSH tunnel cho remote access

💡 Không bao giờ expose gateway port trực tiếp ra internet

ssh -L 18789:localhost:18789 user@server

Tạo SSH tunnel để truy cập an toàn từ xa thay vì mở port công khai.

Đã xác minh binding với netstat/lsof

💡 Xác nhận gateway đang listen trên interface nào

lsof -i :18789

Chạy lệnh để xem process nào đang listen và trên địa chỉ IP nào.

API keys lưu trong environment variables

💡 Không bao giờ hardcode API keys trong config files

echo $ANTHROPIC_API_KEY

Thêm API keys vào ~/.bashrc hoặc ~/.zshrc: export ANTHROPIC_API_KEY="sk-..."

Gateway Token là duy nhất và bảo mật

💡 Regenerate nếu bị lộ

openclaw token regenerate

Gateway Token xác thực các kết nối. Đổi ngay nếu nghi ngờ bị lộ.

Không có secrets trong git history

💡 Dùng git-secrets hoặc gitleaks để scan

gitleaks detect --source .

Cài gitleaks và scan repo để tìm API keys hoặc secrets bị commit nhầm.

File permissions đúng (600)

💡 chmod 600 ~/.OpenClaw.json

chmod 600 ~/.OpenClaw.json && ls -la ~/.OpenClaw.json

Chỉ owner mới có quyền đọc/ghi file config chứa secrets.

Dùng API keys riêng cho mỗi service

💡 Cô lập access để containment

Tạo API key riêng cho OpenClaw thay vì dùng chung với các app khác.

SSH chỉ dùng key authentication

💡 Tắt password authentication

grep PasswordAuthentication /etc/ssh/sshd_config

Sửa /etc/ssh/sshd_config: PasswordAuthentication no, rồi restart sshd.

Dùng SSH port không phải mặc định

💡 Đổi từ port 22 mặc định

grep Port /etc/ssh/sshd_config

Đổi Port trong sshd_config sang số khác (ví dụ: 2222) để giảm scan attacks.

Fail2ban hoặc tương tự đã cài

💡 Chặn brute force attempts

sudo fail2ban-client status sshd

Cài fail2ban để tự động ban IP sau nhiều lần đăng nhập thất bại.

2FA bật cho remote access

💡 Dùng authenticator app

Cài Google Authenticator PAM module cho SSH 2FA.

System prompts đã được hardening

💡 Bao gồm security boundaries

Thêm instructions rõ ràng về những gì AI không được làm vào system prompt.

User input được validate

💡 Sanitize trước khi xử lý

Kiểm tra và lọc input trước khi gửi đến AI để ngăn injection.

Output filtering bật

💡 Chặn rò rỉ dữ liệu nhạy cảm

Cấu hình filter để loại bỏ API keys, passwords, PII khỏi output.

Jailbreak detection hoạt động

💡 Monitor bypass attempts

Log và alert khi phát hiện các pattern jailbreak phổ biến.

Rate limiting đã cấu hình

💡 Ngăn chặn abuse

cat ~/.OpenClaw.json | grep rateLimit

Giới hạn số requests mỗi phút để tránh bị abuse hoặc DoS.

Backup config thường xuyên

💡 Tự động hóa với cron

cp ~/.OpenClaw.json ~/.OpenClaw.json.backup

Tạo cron job để backup config hàng ngày: 0 0 * * * cp ~/.OpenClaw.json ~/.OpenClaw.backup

Logs được giám sát

💡 Thiết lập alerting

tail -f ~/.openclaw/logs/gateway.log

Dùng tools như logwatch hoặc tích hợp với monitoring system.

Daemon chạy với non-root user

💡 Dùng dedicated service account

ps aux | grep openclaw

Không chạy OpenClaw với root. Tạo user riêng: useradd -r openclaw.

Cập nhật security thường xuyên

💡 Giữ OpenClaw luôn mới nhất

npm update -g openclaw

Kiểm tra và update định kỳ để có các bản vá bảo mật mới nhất.

Có kế hoạch Incident Response

💡 Biết phải làm gì nếu bị breach

Chuẩn bị sẵn playbook: revoke tokens, rotate keys, notify, analyze logs.

🦞

Bạn Tôm Hùm

Bảo mật là một hành trình, không phải đích đến. Hãy kiểm tra thường xuyên!