把 OpenClaw 部署到云服务器,看起来像是一件很简单的事情,尤其是现在各大云服务器厂商都提供了openclaw一键安装模式。装好环境、跑起来、打开端口、远程访问。
很多人会下意识把它当成一个普通 Web 服务,直接监听公网地址,再顺手开放端口。这样做虽然 “能用”,却往往不是最安全的方式。对 OpenClaw 这种长期在线、可接消息渠道、可能持有密钥和状态数据的系统来说,最重要的不是先跑起来,而是先收紧边界。
这里给出一套更稳妥的部署方案:
- 只监听本机回环地址
- 远程访问只走 SSH 隧道
- 默认启用 token 鉴权
这套方案的目标不是 “最快上线”,而是:让 OpenClaw 以更接近长期生产使用的方式稳定运行,同时把暴露面尽量缩小。
一般情況下,各個雲服務器廠商為了讓你體驗一鍵安裝使用的快感,openclaw的默認端口都是直接綁定0.0.0.0,這就導致所有公網知道你ip地址的人都可以訪問18789端口(雖然現在有加了token驗證,還是存在很高的安全風險)
## 初始状态
| 端口 | 绑定地址 | 暴露情况 |
|------|----------|----------|
| 18789 | 0.0.0.0 | ⚠️ 公网暴露 |
## 解决过程
1. 修改 Gateway 绑定地址
将 `gateway.bind` 从 `0.0.0.0` 改为 `loopback`:
bash
openclaw config set gateway.bind loopback
openclaw gateway restart
2. 配置允许的访问来源
bash
openclaw config set gateway.controlUi.allowedOrigins '["http://127.0.0.1:18789", "http://localhost:18789"]'
3. 使用 SSH 隧道访问
**本地 (Windows PowerShell)**:
powershell
ssh -N -L 13578:127.0.0.1:18789 root@服务器公网IP
4.查看默认生成的 token
sudo -u openclaw grep '^OPENCLAW_GATEWAY_TOKEN=' /home/openclaw/.openclaw/.env
后面访问 Control UI 时会用到它。
5.访问地址
- 本地浏览器: http://localhost:18789
- 或使用 Dashboard 路径: http://localhost:18789/{你的session-id}?token={你的token}
6、服務器開啟了SSH密匙登入情況
前面的方案是服務器使用密碼登入的情況下,開啟本地SSH隧道訪問雲服務器的openclaw。如果服務器開啟了SSH密匙登入,就需要:
准备好私钥
如果是密钥对登录,确保本地有私钥 .pem 或 .ppk 文件。
Windows 下用 PuTTY,需要先用 PuTTYgen 转换成 .ppk 格式。
🛠️ 建立 SSH 隧道
假设你要把远程服务器上的 OpenClaw Web 控制端口 18789映射到本地:
Linux / macOS
bash
ssh -i /路径/私钥.pem -L 18789:127.0.0.1:18789 用户名@服务器公网IP
-L 18789:127.0.0.1:18789表示:把本地 18789 端口映射到远程服务器的 18789 端口。- 打开浏览器访问
http://127.0.0.1:18789就能通过隧道访问 OpenClaw。
Windows (PuTTY)
- 打开 PuTTY → 输入服务器 IP 和端口(22)。
- 在左侧选择SSH→认证→证书→选择私钥.ppk文件
- 在左侧导航选择 Connection → SSH → Tunnels
- 在 Source port 输入
18789,在 Destination 输入127.0.0.1:18789 - 点击 Add,然后保存会话并连接,弹出认证确认窗口后点确认
- 成功后,本地浏览器访问
http://127.0.0.1:18789。
## 注意事项
1. **SSH 密钥认证**: 服务器 SSH 配置公钥登录,确保安全
2. **密钥文件**: 服务器端 authorized_keys 权限需为 600
3. **用户名**: 使用 root 用户登录
暂无评论