openclaw doctor --non-interactive et openclaw gateway status sur Node 24 et v2026.5.x. Ainsi, la preuve technique porte sur qui exécute la passerelle et vers quels hôtes elle parle, avant toute discussion sur le masquage des champs sensibles dans les traces — cadre d'exploitation, sans avis juridique.
Voir le guide JSONL et doctor fusionné pour logging.redactPatterns et la barrière doctor unifiée. Cette page isole la séparation des comptes, la propriété launchd et le fichier YAML des domaines sortants afin que les annexes d'appel d'offres distinguent clairement la gouvernance des identités de celle des politiques de journalisation.
- Friction 1 : lancer
openclaw onboardavec le même compte quesudotransforme chaque session SSH en surface d'édition de configuration, ce qui complique les revues d'accès trimestrielles. - Friction 2 : sans fichier YAML figé, la promesse « sortie continentale » reste un slogan que
openclaw doctorne peut ni diff ni rejouer lors des audits croisés préproduction et production. - Friction 3 : un doctor interactif en pipeline laisse des traces non reproductibles ; les équipes risque exigent des journaux
--non-interactiveindexés sur une semver unique et archivés à côté du JSONgateway status.
| Posture | Rayon d'explosion côté exécution | Preuves annexables |
|---|---|---|
| Utilisateur administrateur unique | Élevé | Captures d'écran sans hachage de configuration |
| Admin + openclaw-runtime | Réduit | Plist UserName, empreinte SHA du YAML, journal doctor |
| Runtime + refus sortant par défaut | Minimal pratique | Pull request YAML + JSON gateway status |
Modèle de comptes administrateur et d'exécution
Réservez l'administrateur loué aux opérations rares : softwareupdate, correctifs Xcode, agrandissement de volume. Créez openclaw-runtime comme compte standard avec répertoire personnel isolé, politique de clés SSH distincte et espace de stockage pour les artefacts OpenClaw.
Évitez tout lien symbolique vers des node_modules appartenant à l'administrateur : réinstallez la CLI après migration de propriétaire afin que les importations dynamiques restent entièrement sous le home runtime, condition indispensable pour des rapports doctor cohérents.
Consignez les deux UID sur la fiche de changement, listez explicitement qui peut invoquer sudo et exigez une validation quatre-yeux avant tout transfert de secrets depuis la préproduction. Ce socle « identités d'abord » se distingue nettement du guide consacré aux motifs de masquage JSONL.
Étiquettes launchd et cycle bootstrap
Privilégiez un LaunchAgent nommé par exemple com.openclaw.gateway, placé sous ~/Library/LaunchAgents/ du profil runtime. Ne basculez vers /Library/LaunchDaemons que si une politique interne impose un service au niveau système.
Renseignez UserName sur openclaw-runtime, fixez WorkingDirectory sur la racine de configuration et ajustez ThrottleInterval pour éviter qu'une passerelle instable ne multiplie les connexions TLS vers des API tierces pendant les incidents partiels.
Après chaque modification de plist, enchaînez launchctl bootout puis bootstrap en tant qu'utilisateur d'exécution et capturez immédiatement openclaw gateway status : le JSON doit être identique à celui stocké dans l'artefact CI pour lever toute ambiguïté entre support et ingénierie.
Modèle de liste blanche sortante UE
Les noms d'hôte autorisés doivent vivre dans Git, jamais dans un canal de messagerie éphémère. Le gabarit ci-dessous reste indicatif : renommez les clés pour suivre exactement le schéma sécurité publié par OpenClaw et remplacez chaque domaine par un point de terminaison validé par votre conseil ou votre RSSI.
version: 1 profile: eu-continental notes: > Annexer à la PR ; doctor doit réafficher les mêmes chemins. allow_tls_hosts: - api.eu.exemple-bac-a-sable.dev - git.exemple-societe.interne - registry.exemple-societe.interne deny_regex: - ".*\\.nuage-consommateur\\.tld$"
Chargez le fichier via le crochet sécurité décrit dans la documentation OpenClaw : ainsi, openclaw doctor signale les hôtes manquants avant fusion et la liste blanche devient une preuve versionnée indépendante des règles fines de masquage JSONL traitées dans l'autre article.
Six étapes reproductibles
- Ligne de base : SSH admin break-glass, Node 24, v2026.5.x,
openclaw onboard, archiveopenclaw gateway status. - Scission :
openclaw-runtime, configs déplacées, paquets réinstallés sous le nouveau home. - launchd : plist, chargement runtime,
launchctl print gui/$uid/com.openclaw.gateway. - PR liste blanche : YAML revu sécurité, double signature hôtes.
- Doctor : CI :
openclaw config validatepuisopenclaw doctor --non-interactive; échec sur nouvelle alerte. - Post-déploiement : SSH runtime,
openclaw gateway status, journaux + empreinte plist au ticket.
Liste de contrôle d'acceptation
openclaw gateway statussain avecwhoami→openclaw-runtime.- Étiquette launchd documentée, survie reboot sans login admin.
- Doctor liste les hôtes TLS des fumées.
- Node 24 et
openclaw --version→ v2026.5.x sur métal et CI. - Pas de session admin break-glass sept jours hors fenêtre maintenance.
Signaux d'ingénierie citables
- Deux POSIX : installateur vs propriétaire passerelle.
- SHA YAML identique préprod/prod.
- Doctor non interactif identique CI et post-change métal.
FAQ
Accédez aux tarifs, au centre d'aide et au fil du blog
Parcourez l'index du blog pour les matrices réseau, ouvrez les forfaits Mac mini M4 sur la page tarifs, puis escaladez vos questions SSH via le centre d'aide.