防篡改审计守护

技能简介

clauditor 是专为 Clawdbot 代理设计的防篡改审计守护程序，持续监控文件系统异常活动，生成 HMAC 链式证据日志。即使 Clawdbot 本身被入侵，攻击者也无法停止守护进程、伪造记录或删除证据。

业务背景

为Clawdbot代理提供底层安全守护。即使主程序遭入侵，独立运行的审计进程仍能持续监控文件异常，生成不可篡改的证据链，满足企业合规审计与事后追溯要求。

落地案例：企业部署Clawdbot处理敏感业务时，同步启用clauditor守护程序。该进程以隔离系统账户运行，实时监控关键目录变动，所有操作记录经HMAC签名形成链式日志。若发生未授权访问，管理员可导出Markdown报告，完整还原事件时间线用于安全定责。

能做什么

• 实时监控指定路径的文件系统操作
• 生成不可伪造的 HMAC 链式审计日志
• 以独立系统用户身份运行，隔离于主代理进程
• 提供交互式 CLI 向导完成分步安装
• 输出 Markdown 格式的日志摘要报告

使用说明

环境要求：Linux 系统，已安装 cargo 与 systemctl。

安装步骤（推荐向导模式）：

1. 进入项目目录：cd /path/to/clauditor
2. 编译发布版本：cargo build --release
3. 检查当前进度：./target/release/clauditor wizard status
4. 获取下一步指引：./target/release/clauditor wizard next
5. 按提示执行显示的 sudo 命令
6. 验证步骤完成：./target/release/clauditor wizard verify
7. 重复直至状态显示 complete: true

快速安装（高级用户）：sudo bash wizard/wizard.sh

日常操作：

• 查看服务状态：systemctl status systemd-journaldd
• 生成日志摘要：./target/release/clauditor digest --log /var/lib/.sysd/.audit/events.log --key /etc/sysaudit/key --format markdown

配置文件位置：/etc/sysaudit/config.toml（可自定义 watch_paths 与 target_uid）

输入与输出

见下方输入与输出表格。

风险提示

• 需要 root 权限创建系统用户与配置服务
• 密钥文件 /etc/sysaudit/key 需妥善保管，丢失将导致无法验证历史日志
• 默认监控路径需根据实际部署调整，避免过度告警
• 编译依赖 Rust 工具链，网络不稳定可能导致构建失败

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/apollostreetcompany/clauditor/SKILL.md
来源类型：GitHub 仓库