Ist dieser Guide ein Penetrationstest?

Nein. Dieser Guide dient ausschlielich zur Absicherung eigener Systeme. Kein Angriffs-Tool, keine illegalen Aktivitten.

OpenClaw ist das Open-Source Self-Hosting Security Framework von ClawGuru mit Executable Runbooks, Security-Check und Compliance-Dashboard.

Wo finde ich die Runbooks?

Alle Runbooks sind unter /runbooks abrufbar. Jeder Befund im Security-Check enthlt einen direkten Link zum passenden Runbook.

"Not a Pentest" Trust-Anker: Firewall-Konfiguration schützt eigene Server. Keine Angriffswerkzeuge.

OpenClaw Firewall Konfiguration

Minimale Angriffsfläche durch striktes Whitelist-Prinzip — nur explizit erlaubte Verbindungen werden durchgelassen.

🔥 UFW Basis-Konfiguration

# UFW Firewall für OpenClaw Server

# 1. Alles blockieren (Default Deny)
ufw default deny incoming
ufw default allow outgoing

# 2. SSH (Non-Standard Port)
ufw allow 2222/tcp comment "SSH"

# 3. HTTP/HTTPS (nur über nginx Proxy)
ufw allow 80/tcp comment "HTTP (redirect to HTTPS)"
ufw allow 443/tcp comment "HTTPS"

# 4. Datenbank nur von intern
# PostgreSQL NICHT öffentlich freigeben!
# ufw deny 5432/tcp  # Standard: bereits geblockt

# 5. Monitoring (nur von Management-IP)
ufw allow from 10.0.1.0/24 to any port 9090 comment "Prometheus"
ufw allow from 10.0.1.0/24 to any port 3001 comment "Grafana"

# 6. UFW aktivieren
ufw --force enable
ufw status verbose

# Regel-Check: Was ist offen?
ufw status numbered

📊 Port-Status Matrix

Port	Service	Status	Zugriff
22	SSH (Standard)	🔴 Deaktiviert	Umleitung auf 2222
2222	SSH (Custom)	🟢 Erlaubt	Nur Key-Auth
80	HTTP	🟢 Erlaubt	Redirect → 443
443	HTTPS	🟢 Erlaubt	Öffentlich
3000	Node.js App	🔴 Geblockt	Nur über nginx
5432	PostgreSQL	🔴 Geblockt	Nur localhost
6379	Redis	🔴 Geblockt	Nur localhost
9090	Prometheus	🟡 Intern	VPN/Management
3001	Grafana	🟡 Intern	VPN/Management

🔗 Weiterführende Ressourcen