Ist dieser Guide ein Penetrationstest?

Nein. Dieser Guide dient ausschlielich zur Absicherung eigener Systeme. Kein Angriffs-Tool, keine illegalen Aktivitten.

OpenClaw ist das Open-Source Self-Hosting Security Framework von ClawGuru mit Executable Runbooks, Security-Check und Compliance-Dashboard.

Wo finde ich die Runbooks?

Alle Runbooks sind unter /runbooks abrufbar. Jeder Befund im Security-Check enthlt einen direkten Link zum passenden Runbook.

"Not a Pentest" Trust-Anker: Docker Swarm Hardening sichert eigene Container-Infrastrukturen ab. Keine Angriffswerkzeuge.

Was ist Docker Swarm Hardening für OpenClaw?

Docker Swarm Hardening umfasst Secrets Management, TLS Encryption, Network Isolation, Image Scanning und Service Mesh Security. Es schützt Container-Workloads vor Escape-Angriffen durch mehrschichtige Sicherheitskontrollen.

80% aller Docker-Container laufen mit unsicheren Default-Konfigurationen.

OpenClaw Docker Swarm Hardening

Production-ready Security für Docker Swarm — von Secrets Management über Network Isolation bis hin zu Image Scanning und Runtime Security.

🐋 Gehärtetes Docker Swarm Compose

# docker-stack.yml — Gehärtete OpenClaw Produktion
version: '3.9'

services:
  openclaw:
    image: ghcr.io/clawguru/openclaw:latest
    deploy:
      replicas: 3
      update_config:
        parallelism: 1
        delay: 30s
        failure_action: rollback
      restart_policy:
        condition: on-failure
        max_attempts: 3
    secrets:
      - db_password
      - jwt_secret
      - api_key
    networks:
      - frontend
      - backend
    security_opt:
      - no-new-privileges:true
    read_only: true
    tmpfs:
      - /tmp
    user: "1001:1001"  # Non-root user
    environment:
      NODE_ENV: production
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:3000/api/health"]
      interval: 30s
      timeout: 10s
      retries: 3

  postgres:
    image: postgres:16-alpine
    networks:
      - backend  # Nur backend, NICHT frontend
    secrets:
      - db_password
    volumes:
      - pgdata:/var/lib/postgresql/data
    deploy:
      placement:
        constraints: [node.role == manager]

networks:
  frontend:
    driver: overlay
    attachable: false
  backend:
    driver: overlay
    internal: true  # Kein Internet-Zugriff

secrets:
  db_password:
    external: true
  jwt_secret:
    external: true
  api_key:
    external: true

volumes:
  pgdata:
    driver: local

🔒 Swarm Secrets Initialisierung

# Secrets sicher erstellen (niemals in Datei speichern)
echo "$(openssl rand -base64 32)" | docker secret create db_password -
echo "$(openssl rand -base64 64)" | docker secret create jwt_secret -
echo "$(openssl rand -hex 32)" | docker secret create api_key -

# Secrets auflisten (Werte nicht sichtbar)
docker secret ls

# Stack deployen
docker stack deploy -c docker-stack.yml openclaw

# Swarm TLS aktivieren (Standard bei Init)
docker swarm init --advertise-addr ETH0_IP

# Autolock aktivieren (schützt Swarm Keys)
docker swarm update --autolock=true

🔗 Weiterführende Ressourcen