怎么给OpenClaw配置专用用户？​

为 OpenClaw 配置专用用户是保障系统安全的关键一步，核心原则是“最小权限”，即绝不让 OpenClaw 以 root 等高权限账户运行。

以下是创建和配置专用用户的详细步骤，适用于 Linux 服务器环境。

🛡️ 创建并配置专用用户

请全程使用您的管理员账户（如 root 或一个有 sudo 权限的用户）执行以下操作。

1. 创建专用系统用户
首先，创建一个没有登录 Shell 的系统用户，这能有效降低风险。我们将这个用户命名为 openclaw-user。
sudo useradd -r -s /bin/false openclaw-user

* -r: 创建一个系统账户。
* -s /bin/false: 设置用户的登录 Shell 为 /bin/false，这意味着该用户无法通过 SSH 等方式登录系统，只能用于运行服务。

2. 创建 OpenClaw 的工作目录
为 OpenClaw 创建一个专属目录，例如 /opt/openclaw。
sudo mkdir -p /opt/openclaw

3. 更改目录所有权
将 OpenClaw 的工作目录及其所有子目录的所有权赋予给刚创建的 openclaw-user。
sudo chown -R openclaw-user:openclaw-user /opt/openclaw

这样，openclaw-user 就拥有了对该目录的完全控制权，而无需更高的系统权限。

⚙️ 配置服务以专用用户运行

配置好用户和目录后，需要修改 OpenClaw 的服务配置，使其以新用户的身份启动。

1. 编辑服务配置文件
使用 systemctl edit 命令来创建或编辑 OpenClaw 服务的覆盖配置。
sudo systemctl edit openclaw

2. 指定运行用户和组
在打开的编辑器中，输入以下内容，然后保存并退出。
[Service]
User=openclaw-user
Group=openclaw-user

这会告诉系统在启动 openclaw 服务时，切换到 openclaw-user 用户和组。

3. 重启服务使配置生效
最后，重启 OpenClaw 服务，新的配置就会生效。
sudo systemctl daemon-reload
sudo systemctl restart openclaw

现在，OpenClaw 就在一个权限受限的专用用户环境下安全运行了。

🔒 进阶安全加固（可选）

对于有更高安全需求的场景，可以采取更严格的措施，例如创建一个权限受限的专用用户 clawuser。

1. 创建受限用户
sudo adduser --shell /bin/rbash --disabled-password clawuser

* --shell /bin/rbash: 使用受限的 Bash (rbash)，限制用户可执行的命令。
* --disabled-password: 禁用密码登录，通常配合 SSH 密钥使用。

2. 创建受限命令目录
为 clawuser 创建一个专属的 bin 目录，并只将安全的命令（如 ls, echo）链接进去。
sudo mkdir -p /home/clawuser/bin
sudo ln -s /bin/ls /home/clawuser/bin/ls
sudo ln -s /bin/echo /home/clawuser/bin/echo

3. 强制设置 PATH 环境变量
通过配置文件，强制 clawuser 只能使用上一步创建的受限目录中的命令。
echo 'if [ "$USER" = "clawuser" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.sh
sudo chmod 644 /etc/profile.d/restricted_clawuser.sh

这样，即使 clawuser 被攻陷，攻击者也无法执行 rm、mv 等危险命令。