VPSSpark Blog
← Retour au journal de dev

2026 — OpenClaw Linux, VPS cloud : surface d’attaque minimale — modèles de pare-feu, liaison Gateway en loopback et administration par tunnel SSH ; matrice face au reverse proxy HTTPS public et FAQ par paliers

Notes serveur · 2026.04.25 · ~6 min de lecture

Sécurisation d’un VPS Linux pour OpenClaw Gateway : pare-feu et accès restreint

Héberger OpenClaw Gateway sur un VPS Linux est tentant jusqu’au premier balayage de ports sur votre interface d’administration. L’objectif opérationnel est une surface réduite et énumérable : refus par défaut au bord du réseau, passerelle joignable seulement là où vous le décidez, et un choix explicite entre tunnel SSH pour le plan de contrôle et reverse proxy HTTPS exposé sur Internet. Voici un gabarit de pare-feu réutilisable, des repères pour lier la Gateway en loopback, un schéma d’accès SSH, une matrice de décision pour ne pas sur-dimensionner le jour J ni reporter l’indurcissement, et une FAQ par paliers alignée sur les autres guides OpenClaw.

22 / 443
Ports publics à justifier
127.0.0.1
Liaison Gateway en mode verrou
L0–L3
Dépannage par paliers

Modèle de menace en un paragraphe

Partez du principe qu’il y aura des tentatives de bourrage de mots de passe sur SSH, du balayage sur tout écouteur HTTP, et du bruit supply-chain sur les chemins d’installation. La Gateway orchestre jetons et sessions : isolez-la des autres démons. Basez-vous sur un refus entrant par défaut, puis n’autorisez que SSH (clés uniquement, liste d’IP optionnelle) et ce que vous publiez délibérément pour les assistants ou les webhooks.

Modèle de pare-feu : refus par défaut, autorisations explicites

Avec ufw ou nftables, gardez la même histoire : loopback ouvert, flux établis/associés acceptés, nouvelles connexions entrantes réduites à SSH et, seulement si nécessaire, 80/443 pour le TLS. Répliquez les règles sur IPv6 ou désactivez v6 consciemment — ne le laissez pas ouvert par inadvertance.

Base de type UFW (adapter le port SSH) 
# Ne réinitialisez qu’en session console de confiance
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH    # ou : allow 22/tcp
# Si vous terminez le TLS sur cette machine pour OpenClaw :
# sudo ufw allow 80,443/tcp
sudo ufw enable
sudo ufw status verbose
Groupes de sécurité du fournisseur en premier
Les pare-feu du plan de contrôle cloud (security groups) doivent raconter la même chose que l’OS. Si les deux coexistent, alignez-les : un clic erroné dans l’UI ne doit pas élargir silencieusement le VPS.

Liaison Gateway sur loopback

Si aucun autre hôte du LAN ne doit appeler la Gateway, liez à 127.0.0.1 (et au loopback v6 si activé). Cela évite la plupart des incidents « j’ai oublié de filtrer le port élevé ». Ajoutez un reverse proxy local seulement si un processus sur la même machine doit faire le pont entre protocoles ; sinon préférez le transfert de port SSH ci-dessous pour l’administration.

Sondes et agents
Si une sonde de disponibilité externe doit joindre la Gateway, le mode loopback seul est inadapté sur ce chemin — utilisez un écouteur séparé, du mTLS sur une interface privée, ou déplacez les contrôles vers le superviseur du processus sur l’hôte plutôt que vers Internet public.

Tunnel SSH pour l’accès au plan de gestion

Pour les opérateurs solo ou les petites équipes, ssh -L concentre une grande partie de la confiance dans les clés et le navigateur que vous maîtrisez. Exemple :

Transfert local (ports indicatifs) 
ssh -N -L 8443:127.0.0.1:18789 user@nom-du-vps
# Puis ouvrez https://127.0.0.1:8443 si le TLS est géré dans la pile du tunnel,
# ou http://127.0.0.1:8443 si la Gateway est en HTTP sur loopback (en prod, enveloppez plutôt stunnel/WireGuard).

Durcissez SSH : clés uniquement, AllowUsers serré, limitation de débit ou fail2ban si besoin ; un port SSH non standard est de l’hygiène, pas une politique. Quand le tunnel répond mais pas la Gateway, enchaînez avec 2026 — OpenClaw Linux, dépannage permanent : systemd, journaux openclaw et sondes de port passerelle — FAQ par paliers pour systemd et les journaux.

Matrice : chemin SSH vers loopback vs reverse proxy HTTPS public

Choisissez HTTPS lorsque navigateurs, réseaux mobiles ou webhooks exigent une URL publique stable. Choisissez SSH lorsque seuls des opérateurs touchent l’UI d’admin et que vous voulez moins de pièces mobiles au bord. Pour le montage TLS complet (Nginx/Caddy, renouvellement, rollback), la procédure détaillée est dans 2026 — OpenClaw Gateway en production sur Linux : openclaw onboard, openclaw doctor / openclaw fix, HTTPS Nginx ou Caddy, montée de version et rollback.

Dimension Tunnel SSH vers Gateway en loopback Reverse proxy HTTPS public (Nginx/Caddy)
Public Administrateurs munis de clés SSH Navigateurs, applications, webhooks fournisseurs
Exposition SSH seulement (+ VPN optionnel) 443 (souvent 80 pour l’ACME)
Travail TLS Peut rester minimal si vous faites confiance au transport SSH Certificats, renouvellement, suites cryptographiques
Modes de panne Timeouts NAT, ControlMaster cassé En-têtes Host mal routés, amont obsolète
Idéal quand Équipe réduite, pas d’intégrations publiques Assistants partagés, SLO de disponibilité stricts
Exposition progressive
Livrez le premier jour en loopback + SSH. Passez au HTTPS seulement quand une intégration concrète exige une URL publique stable ; conservez l’ancien chemin SSH comme accès de secours après bascule.

FAQ de dépannage par paliers

Gardez la terminologie L0–L3 alignée avec les autres runbooks OpenClaw pour que les tickets restent comparables entre équipes.

L0 — « Rien n’écoute »

Vérifiez que l’unité systemd est active, puis ss -lntp. Si la Gateway n’écoute qu’en loopback, un test depuis une autre machine est un faux négatif — retestez via tunnel ou sur le VPS.

L1 — « SSH OK, tunnel KO »

Cherchez collision de port local, comportements IPv6 entre localhost et 127.0.0.1, et lancez curl -v depuis le shell du VPS vers la cible loopback pour séparer faute SSH et faute applicative.

L2 — « Le chemin HTTPS flappe après renouvellement de certificat »

Inspectez le mode ACME (HTTP-01 vs DNS-01), les erreurs de rechargement du proxy et les keepalives amont ; le renouvellement ne doit pas faire tomber la Gateway sauf si l’automatisation coordonne les sondes de santé.

L3 — « Compromission suspectée »

Exportez l’état du pare-feu, faites tourner les clés SSH et les jetons, révoquez les webhooks, et reconstruisez depuis une image connue plutôt que le jeu du marteau sur un disque vivant. Les questions de chemin d’installation (curl vs conteneur, variables d’environnement) doivent être traitées dans un runbook d’installation séparé après incident.

Pourquoi un Mac cloud complète encore votre VPS Linux durci

Linux reste l’endroit idéal pour terminer le trafic public peu coûteux, mais Apple Silicon reste la voie la plus rapide pour Xcode, la notarisation et les diagnostics riches en interface. Un Mac mini M4 combine toolchain Unix native avec Gatekeeper, SIP et une culture proche de FileVault — pratique lorsqu’une partie de l’équipe vit sur macOS pendant qu’une autre exploite des passerelles VPS sans écran.

Avec environ 4 W en idle et un fonctionnement silencieux, un nœud Mac cloud tient sans peine comme bastion ou hôte de build, sans la taxe sonore des PC classiques, tandis que la mémoire unifiée garde les workflows multi-outils réactifs.

Si vous voulez ce volet macOS sur du matériel fiable, le Mac mini M4 cloud VPSSpark relie proprement un durcissement Linux « SSH d’abord » aux artefacts signés sur la pile Apple — découvrez les offres maintenant et gardez les deux moitiés de votre plateforme cohérentes.

Offre limitée

SSH et loopback d’abord — HTTPS quand une intégration l’exige

Surface minimale sur VPS · runbooks L0–L3 · même discipline côté groupe de sécurité cloud

Retour à l'accueil
Offre limitée Voir les offres