security-monitor

核心用法

security-monitor 是专为 Clawdbot 设计的实时安全监控技能，以 Node.js 脚本形式运行，提供两种工作模式：单次扫描模式（--interval 60）和守护进程模式（--daemon）。用户可通过命令行参数灵活配置监控间隔（秒）、威胁类型（credentials/ports/api-calls）及输出方式。监控数据以 JSON 格式持久化到 /root/clawd/clawdbot-security/logs/alerts.log，并支持控制台实时输出。

显著优点

1. 零依赖部署：仅使用 Node.js 内置模块（fs/path/child_process），无 npm 包依赖，杜绝供应链攻击风险。
2. 多维度威胁检测：覆盖暴力破解（认证日志分析）、端口扫描（ss/netstat 监控）、进程异常、文件篡改、容器健康五大安全场景。
3. 轻量级架构：单文件实现（monitor.cjs），模块化函数设计，便于审计和二次开发。
4. 生态协同：与 security-audit 技能形成"扫描+监控"的完整安全闭环，支持 PM2/systemd 生产级部署。

潜在缺点与局限性

1. 功能未完全实现：Telegram 警报功能标记为 TODO，实际仅支持本地日志和控制台输出。
2. 硬编码路径：监控目录、日志路径均为硬编码（/root/clawd/...），缺乏配置灵活性。
3. 正则精度问题：IP 提取正则存在逻辑缺陷（match 对象使用不当），可能导致误报或漏报。
4. 参数验证缺失：命令行参数未做严格校验，存在潜在输入风险。
5. 权限要求较高：需读取 /var/log/auth.log、.env 等敏感文件，对运行环境有特定权限依赖。

适合的目标群体

• Clawdbot 生产环境运维人员：需要 7×24 小时安全监控的部署场景
• 中小团队安全管理员：缺乏专业 SOC（安全运营中心）资源，需要轻量级自建方案
• DevOps 工程师：已将 Clawdbot 集成至 CI/CD 流程，需配套安全监控能力
• 安全合规需求方：需要满足基础入侵检测日志留存要求的组织

使用风险

1. 性能开销：高频监控（如 10 秒间隔）配合 execSync 同步执行系统命令，可能对低配置服务器造成 CPU/IO 压力。
2. 日志膨胀：长期运行的守护进程未实现日志轮转，磁盘空间存在耗尽风险。
3. 权限配置风险：若日志文件权限设置不当（建议 600），敏感安全数据可能被非授权读取。
4. 误报干扰：基于阈值的启发式检测（如"5 分钟内 10 次失败登录"）在复杂网络环境中可能产生噪音警报。
5. 单点故障：无高可用设计，监控进程自身崩溃将导致安全盲区。