Ubuntu 下安装 OpenClaw 并配置安全访问

• 选择 AI 模型（可跳过，后续添加）
• 配置聊天渠道（如 Telegram、飞书等，可跳过）
• 安装基础技能（建议全选）

跳过模型配置： 若暂时没有 API Key，可以选择跳过，后续随时补充。

选择 Open the Web UI：

4. 修改配置文件以实现外部访问

OpenClaw 默认只监听本地（127.0.0.1），如需从局域网其他设备访问 Web 控制台，需修改配置文件。

配置文件位于 ~/.openclaw/openclaw.json，编辑该文件：

nano ~/.openclaw/openclaw.json

找到 gateway 部分，将 bind 的值改为 "lan"（监听所有网络接口），并确保端口为 18789。

修改后重启 Gateway 服务：

openclaw gateway restart

5. 防火墙放行端口

根据你的防火墙工具，开放 18789 端口（注意：生产环境建议限制来源 IP）：

# ufw
ufw allow 18789/tcp

# firewalld
firewall-cmd --add-port=18789/tcp --permanent && firewall-cmd --reload

# iptables
iptables -A INPUT -p tcp --dport 18789 -j ACCEPT

验证监听状态：

ss -untlp | grep 18789

应显示类似 0.0.0.0:18789 的监听记录。

6. 安全访问：使用 SSH 隧道（推荐）

由于 Web 控制台基于 HTTP 且未配置 HTTPS，直接暴露可能带来安全风险。最安全的方式是通过 SSH 隧道将远程端口映射到本地。

在宿主机（你的物理机）上执行：

ssh -L 8888:localhost:18789 root@<虚拟机 IP>

• 8888：本地监听端口，可自定义
• <虚拟机 IP>：Ubuntu 虚拟机的实际 IP 地址

保持此终端窗口打开，然后打开宿主机浏览器，访问 http://localhost:8888。此时相当于本地访问，完美满足浏览器的'安全上下文'要求，且所有流量均通过 SSH 加密。

优点：无需修改 OpenClaw 配置、无需开放防火墙、流量加密。 缺点：每次访问需保持 SSH 连接。

三、常见问题与解决

Q1：安装时 npm 报错'node-domexception'等警告

这是正常现象，不影响使用，可忽略。

Q2：无法从外部访问 Web 控制台

• 检查 bind 是否设置为 "lan" 或 "0.0.0.0"（注意新版需用 lan 模式）。
• 确认防火墙已放行 18789 端口。
• 尝试使用 SSH 隧道方式。

Q3：浏览器报'origin not allowed'

在配置文件中添加 controlUi.allowedOrigins，例如：

"controlUi": {"allowedOrigins": ["http://你的宿主机 IP:18789"]}

然后重启 Gateway。

Q4：浏览器提示'需要安全上下文'

这是因为通过 HTTP 访问非本地地址。解决方案：

• 使用 SSH 隧道（推荐）
• 或配置 HTTPS（如使用 Tailscale Serve）
• 或在配置中设置 allowInsecureAuth: true（仅限测试环境）

四、进阶：配置模型与技能

1. 添加 AI 模型密钥

通过 Web 控制台或命令行添加：

openclaw config set models.providers.openai.apiKey sk-xxxxxx
openclaw models set openai/gpt-4

2. 安装新技能

使用官方工具 clawhub：

npm install -g clawhub
clawhub install tavily-search # 安装联网搜索技能

3. 使用本地模型

如果你有本地部署的模型（如 Ollama、vLLM），可通过自定义模型提供商接入，参考 官方文档。

五、总结

通过本文，你已经在 Ubuntu 上成功搭建了 OpenClaw AI 助理，并掌握了通过 SSH 隧道安全访问 Web 控制台的方法。OpenClaw 的强大之处在于其可扩展性——你可以随时添加新技能、接入不同模型，甚至开发自己的插件。

友情提示：建议创建普通用户运行 OpenClaw，避免使用 root 带来安全风险。