server-audit — 远程服务器巡检

通过 SSH 免密登录检查远程服务器环境与安全状况，生成巡检报告。

前提条件

• 已通过

  ssh-ops

  skill 配置好免密登录
• 或手动配置了 SSH 密钥认证

工作流程

1. 运行巡检脚本

bash <skill>/scripts/server-audit.sh <host> [user]

脚本会自动收集以下信息并输出快速安全判定：

• 系统信息: OS、内核、CPU、内存、磁盘、Swap
• 运行服务: systemd running services
• 开放端口: 所有 TCP 监听端口
• 防火墙: firewalld 状态和规则、SELinux 状态
• Web 服务: Nginx/PHP-FPM/MariaDB/Node/Docker 版本和状态
• Nginx 虚拟主机: server_name、root、listen
• 网站文件: /www/wwwroot 下的站点检测
• 安全配置: SSH 配置（密码认证、Root 登录、端口）
• 可疑项目: 失败登录记录、定时任务、高内存进程

2. 基于脚本输出生成详细报告

根据脚本收集的数据，生成结构化的 Markdown 报告。

⚠️ 报告保存位置：

~/.openclaw/workspac/audits/<IP>-<日期>.md

报告只保存在本地 workspace，不要上传到任何 GitHub 仓库。

文件命名格式：

119.91.38.151-20260319.md

报告模板：

# 服务器巡检报告
**主机:** <IP>
**检查时间:** <时间>

## 1. 基础信息
## 2. 已安装服务
## 3. 开放端口（标注风险）
## 4. 安全问题（🔴严重/⚠️警告/💡建议）
## 5. 快速修复命令

安全判定规则

🔴 严重（需立即修复）

• 数据库端口（3306/5432）监听 0.0.0.0
• 管理面板端口（宝塔 8888、phpMyAdmin）监听 0.0.0.0
• SSH 允许 root 密码登录

⚠️ 警告（建议修复）

• 防火墙未启用
• SELinux 禁用
• SSH 密码认证未禁用
• 无 Swap 分区
• 存在暴力破解尝试
• 可疑定时任务

💡 建议（优化项）

• SSH 默认端口 22
• 缺少运行时（Node.js 等）
• 未使用的服务（Postfix 等）
• 无自动备份策略

多服务器批量巡检

对多台服务器循环执行：

for host in 192.168.1.1 192.168.1.2 10.0.0.1; do
  echo "=== $host ==="
  bash <skill>/scripts/server-audit.sh "$host"
  echo ""
done