算力レンタルのリモート Mac上で OpenClaw を動かすときは、共有リソース上の本番セル扱いが安全です。スキル束の最小権限、読み取り専用ワークスペース沙箱、外向きドメイン許可リストを一組で。起動・TLS・bind はDocker・本番稿、接続はSSH/VNC チェックリストから。
ゲートウェイとスキルパッケージのバージョン固定
版の漂流は攻撃面の拡大です。レンタルMacではゲートウェイとスキルパックを同時に固定します。
- ゲートウェイ:CLIはセマンバ固定(例 [email protected])。Dockerは OPENCLAW_IMAGE をダイジェストで固定しCompose横に記録。
- スキルパック:タグ付きディレクトリまたはチェックサム済みtar。設定のパスは更新まで凍結ツリーのみ。
- スナップショット:実効設定(秘密伏せ)をチケットへ。インシデント時の証跡に。
curl 一発で外向きは開くため、下記の沙箱・許可リストと必ず併用。
ディレクトリ沙箱と読み取り専用マウントのパラメータ表
単一ルート+コード・参照の:ro+スクラッチrw。表をDocker -v/Composeに写します。
| パラメータ | 推奨姿勢 | レンタル時の注意 |
|---|---|---|
| ワークスペースルート | 単一の正規パス(例 /srv/openclaw/workspace) | ホーム配下への書き散らしを避ける。 |
| 顧客/リポジトリツリー | :ro でマウント | 改ざん防止。メンテ時のみrw。 |
| スキル束ディレクトリ | 導入後 :ro | 実行時改変を防ぐ。更新はパイプラインのみ。 |
| スクラッチ/出力 | 専用rwボリューム(クォタ可) | ローテ必須。大容量出力はここに限定。 |
| 設定・秘密情報 | 厳しいPOSIX権限のホストパス(世界読み取り不可) | 共有イメージはumask・グループを起動前確認。 |
| OSエージェント沙箱モード | 非メインセッション向けの隔離(non-main 系) | 本番稿の agents.defaults.sandbox.mode と整合。 |
- /data/customer/acme/src:/workspace/src:ro - /data/skills/acme-pack/v1.4.2:/skills/acme:ro - /data/scratch/acme:/workspace/out:rw
外向きドメイン許可リストの設定手順
外向きが広い網ではfw・出口プロキシ・コンテナ方針のいずれかで単一の絞り所を作る。
- 棚卸し:レジストリ・モデルAPI・Git・Webhook等、apexとAPIサブドメインまで列挙。
- 分類:必須と任意に分け、分析系は後回し。
- 実装:OpenClawのURLフィルタがあれば同じ一覧をミラーし文書と同期。
- 段階導入:ログのみ→1営業日で拒否を集め絞込。CDN・リダイレクト漏れに注意。
- 検証:ドライランで「ブロック」と分かる失敗にする。
Ollama等は 127.0.0.1 バインドを文書化。詳細は批推論稿。
監査ログの要点
事後に答えるのは「何を試みたか」「何を拒否したか」。JSONで最低限:
- 時刻・セッション:UTC、チャネルID、テナントラベル。
- ツール:名、スキル版、設定ハッシュ。
- FS:要求パス・正規化絶対パス・ルート・操作・許可/拒否。
- ネット:メソッド、ホスト、ブロック理由。
- ポリシー版:許可リストIDとマウント版。
自社シンクへ転送。ディスク再利用前提のレンタル機では launchd フォワーダを推奨。
権限逸脱・パストラバーサル向けトラブルシュート FAQ
permission denied::ro・フルディスクアクセス・UID対応を確認。
スクラッチ外への書き込み:マウント前にシンボリック先を検査、追従オフ。ラッパで ../ を正規化後拒否。
間欠403:CDNの実接続FQDNをログから追加。ドメイン丸ごと許可は慎重に。
ローカルでは成功・レンタルで失敗:マウント・uid/gid・DNS検索ドメインを差分。
更新後の越権疑い:スキルをダイジェストでロールバックし、Net/FSログを版間差分。拡大はチケット必須。