OpenClaw auf Proxmox sicher selbst hosten – VM-Isolation für KI-Agenten mit Shell-Zugriff
OpenClaw auf Proxmox sicher hosten: isolierte VM, Firewall, fail2ban und Prompt-Injection-Schutz – KI-Agent ohne Sicherheitsrisiko betreiben.
OpenClaw auf Proxmox sicher selbst hosten
OpenClaw – bekannt unter seinen früheren Namen Moltbot und Clawdbot – ist kein klassischer Chatbot. Es ist ein vollwertiger KI Agent, der direkt auf Ihrem Server läuft, Zugriff auf das Dateisystem hat, Shell Befehle ausführen kann und sich Sitzungen merkt. Das macht das Tool mächtig – und gefährlich, wenn es falsch betrieben wird.
Shodan Scans aus Januar 2026 haben gezeigt: Hunderte OpenClaw Instanzen sind ohne jede Authentifizierung offen im Internet erreichbar. Wer das Tool einfach installiert und startet, riskiert, einem Angreifer Root Zugriff auf seine Maschine zu schenken.
Diese Anleitung zeigt den sicheren Weg: OpenClaw in einer isolierten Proxmox VM, mit SSH Härtung, Firewall, fail2ban und Schutz gegen Prompt Injection.
Warum VM – und nicht LXC?
LXC Container teilen den Kernel des Proxmox Hosts. Ein kompromittierter Container kann unter Umständen aus der Isolation ausbrechen und den Host gefährden.
VMs hingegen laufen unter Hypervisor Isolation. Wenn ein Angreifer die VM übernimmt, löscht man sie, stellt das letzte Snapshot wieder her – der Proxmox Host bleibt sauber. Für einen Agenten mit Shell Zugriff ist das der einzig vertretbare Betriebsmodus.
Schritt 1: Proxmox VM anlegen
Neue VM mit diesen Einstellungen erstellen:
| Einstellung | Wert | | | | | Name | openclaw | | ISO | Ubuntu 24.04 LTS Server | | Machine | q35 | | CPU | 2 Kerne, Typ host | | RAM | 4096 MB | | Disk | 32 GB |
Nach der Erstellung noch zwei Anpassungen:
Memory Ballooning: deaktivieren (Optionen → Speicher → Ballooning Device: Nein) QEMU Guest Agent: aktivieren (Optionen → QEMU Guest Agent: Ja)
VM starten, Ubuntu Installation durchlaufen, OpenSSH Server aktivieren.
Schritt 2: Basis OS vorbereiten
```bash ssh ihr user@<VM IP
sudo apt update && sudo apt upgrade y sudo apt install y curl git build essential ca certificates gnupg qemu guest agent ```
Schritt 3: Dedizierten Benutzer anlegen
OpenClaw niemals als root oder als eigener Hauptbenutzer betreiben. Ein dedizierter User begrenzt den Schaden, wenn etwas schiefläuft:
Zur Info: Passwordloses sudo ist hier bewusst gesetzt, weil OpenClaw System Kommandos ausführt, die sudo benötigen. Das Konto hat kein Passwort – die eigentliche Sicherheitsschicht ist die VM Isolation, nicht die sudo Einschränkung.
Zum User wechseln:
Schritt 4: Swap einrichten
Ubuntu Server mit LVM erstellt standardmäßig keinen Swap. OpenClaw zieht Node Dependencies und kompiliert – ohne Swap läuft man schnell in OOM:
Schritt 5: Node.js 24 installieren
Schritt 6: OpenClaw installieren
Schritt 7: Telegram Bot einrichten
OpenClaw kommuniziert über Telegram. Vorbereitung:
1. Telegram öffnen, @BotFather suchen 2. /newbot senden, Name und Username (muss auf bot enden) vergeben 3. Token sichern – wird während der Konfiguration benötigt 4. /setprivacy → Bot auswählen → Disable (damit der Bot alle Nachrichten liest) 5. @userinfobot kontaktieren, um die eigene Telegram User ID zu erhalten
Schritt 8: OpenClaw konfigurieren
Empfohlene Einstellungen:
Gateway Modus: Local Authentifizierung: API Key des gewünschten KI Providers Gateway Bind: Loopback (127.0.0.1) – wichtig, niemals 0.0.0.0 Channels: Telegram → Bot Token einfügen Runtime: Node (nicht Bun)
Durch das Binden an Loopback ist das Gateway nur innerhalb der VM erreichbar. OpenClaw öffnet keinen eingehenden Port – es pollt Telegrams API alle paar Sekunden. Die gesamte Kommunikation ist ausgehend.
Schritt 9: Systemd Service aktivieren
```bash sudo loginctl enable linger openclaw
openclaw daemon install systemctl user daemon reload systemctl user enable now openclaw gateway systemctl user status openclaw gateway ```
Schritt 10: OpenClaw Security Audit
OpenClaw bringt einen eingebauten Sicherheits Audit mit:
fix korrigiert Dateiberechtigungen automatisch.
Schritt 11: Telegram Pairing
Standardmäßig antwortet OpenClaw auf keine unbekannte Person. Wer dem Bot schreibt, erhält einen Pairing Code, der auf dem Server bestätigt werden muss:
Erweiterte Sicherheitshärtung
Die Basis Installation ist ein guter Anfang. Für eine produktionsnahe Umgebung – oder wenn die VM auch über das Internet erreichbar ist – sind weitere Maßnahmen notwendig.
SSH absichern
Passwort Login deaktivieren, nur noch SSH Keys erlauben:
Folgende Werte setzen:
Service neu starten:
SSH Key auf dem Client erzeugen und auf die VM übertragen:
UFW Firewall in der VM
Nur notwendige Verbindungen erlauben. OpenClaw benötigt keine eingehenden Ports – ausgehend reicht:
```bash sudo apt install y ufw
sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow 2222/tcp SSH (angepasster Port) sudo ufw enable sudo ufw status verbose ```