Neuen Benutzer anlegen
Ersetzen Sie 'alex' durch den gewünschten Benutzernamen.
adduser alex # Ersetze 'alex' durch deinen Namen
usermod -aG sudo alexSicherheitsanleitung
Handbuch: Privater KI-Server (Hardened VPS)
Anleitung zur sicheren Installation und Wartung von OpenClaw (Clawdbot) auf einem gehärteten VPS.
Empfohlenes Vorgehen: Systemhärtung, Nicht-Root-Benutzer, Firewall, schlüsselbasierter SSH-Zugang, privater Perimeter (Tailscale), Dienst-Persistenz und automatische Sicherheitsupdates.
⚠️ Führen Sie die Schritte in der angegebenen Reihenfolge aus, um den Zugriff auf den Server nicht zu verlieren.
Lieber einen bereits konfigurierten und sicheren Server? Unseren verwalteten Service kennenlernen →
Vorbereitung und sicherer Benutzer
Anlegen eines Nicht-Root-Benutzers vor der Zugriffshärtung.
SSH-Schlüssel zum neuen Benutzer kopieren
Von der lokalen Maschine aus ausführen.
ssh-copy-id alex@DEINE_SERVER_IPAls neuer Benutzer einloggen
Nicht fortfahren, wenn die Verbindung fehlschlägt.
ssh alex@DEINE_SERVER_IPSystem-Härtung (Hardening)
Firewall, automatische Updates und SSH-Einschränkung.
Updates und automatische Patches
sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades fail2ban -y
sudo dpkg-reconfigure -plow unattended-upgradesGrundlegende Firewall (UFW) konfigurieren
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enableSSH-Passwort und Root-Login deaktivieren
sudo nano /etc/ssh/sshd_config
# Nach dem Bearbeiten der Direktiven den Dienst neu starten:
sudo systemctl restart sshFolgende Direktiven setzen:
PasswordAuthentication noPermitRootLogin noPubkeyAuthentication yes
Privater Perimeter (Tailscale)
Beschränkung des Servers auf das Tailscale-Privatnetz.
Tailscale installieren
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale upSSH nur auf privates Netz beschränken
# Verkehr vom Tailscale-Internsubnetz erlauben
sudo ufw allow from 100.64.0.0/10 to any port 22 proto tcp
# Regel entfernen, die SSH für die ganze Welt öffnete
sudo ufw delete allow sshOpenClaw (Clawdbot)-Installation und Persistenz
Bot-Installation, Berechtigungen für Credentials und PM2-Autostart.
Node.js und PM2 installieren
curl -fsSL https://deb.nodesource.com/setup_20.x | sudo -E bash -
sudo apt install -y nodejs
sudo npm install -g pm2Bot installieren und konfigurieren
npm install -g clawdbot
clawdbot doctorBerechtigungen für Geheimnisse (kritisch)
chmod 700 ~/.clawdbot/credentials
chmod 600 .env # Bei Nutzung einer .env-DateiAutostart konfigurieren
pm2 start clawdbot --name "ai-bot"
pm2 save
pm2 startup
# (Befehl aus der Terminal-Ausgabe kopieren und ausführen)Abschließende Prüfung
Prüfung der Härtung und der exponierten Ports.
App-Audit ausführen
clawdbot security audit --deepOffene Ports prüfen
In der Spalte "Local Address" darf 0.0.0.0 (öffentlich) bei sensiblen Ports nicht erscheinen, außer SSH, falls Phase 3 noch nicht angewendet wurde.
sudo ufw status verbose
ss -tulnp | grep LISTENErreichtes Sicherheitsniveau
✅
Schlüsselbasierter Zugang: Zugriff ausschließlich über privaten SSH-Schlüssel.
✅
Privater Perimeter: Server antwortet nicht auf externe Pings (außerhalb Tailscale).
✅
Updates und Resilienz: automatische Patches und Dienst-Neustart bei Fehlern.
✅
Minimale Rechte: Credentials und sensible Dateien mit eingeschränkten Berechtigungen.
Server + Sicherheit + OpenClaw installiert. Ohne Terminal. Angebot ansehen →