OpenClaw CentOS Stream 9 安裝指南:企業級 Linux 環境部署 AI 助理完整攻略
本文說明:本教學適用於 CentOS Stream 9 及 RHEL 9 系列(包括 AlmaLinux 9、Rocky Linux 9)。CentOS Stream 9 是 Red Hat Enterprise Linux 9 的上游,廣泛用於企業伺服器環境。本文將詳細說明如何處理 SELinux、firewalld 等企業 Linux 特有設定。
CentOS Stream 9 上跑 OpenClaw 的優勢
在 2026 年的企業 IT 環境中,CentOS Stream 9 仍然是最主流的 Linux 發行版之一。儘管 CentOS Linux 7/8 已於 2024 年停止支援,CentOS Stream 9 作為 RHEL 9 的上游滾動發行版,提供了更早獲得新特性的優勢,同時保持了 RHEL 家族的穩定性和企業級安全設定。
許多企業的 IT 部門希望在現有的 CentOS/RHEL 伺服器上部署 OpenClaw,讓 AI 助理整合進現有的企業 IT 基礎架構,處理文件自動化、系統監控通知、工單管理等企業任務。本文將一步步帶您在 CentOS Stream 9 上完成 OpenClaw 的部署,並處理 SELinux、firewalld 等企業 Linux 特有的設定挑戰。
安裝前準備:系統需求與環境確認
在開始安裝前,確認您的 CentOS Stream 9 系統已符合以下需求:
# 確認作業系統版本
cat /etc/os-release
# 預期輸出包含:CentOS Stream release 9
# 確認系統架構(必須是 x86_64 或 aarch64)
uname -m
# 確認可用記憶體(建議 2GB 以上)
free -h
# 確認磁碟空間(/usr 或 / 需要至少 5GB 可用空間)
df -h
# 確認 SELinux 狀態(企業環境通常已啟用)
getenforce
# 輸出 Enforcing 表示 SELinux 已啟用,需要特別處理
步驟一:安裝 Node.js 22(使用 nvm 方法)
OpenClaw 需要 Node.js v22 或更新版本。CentOS Stream 9 的官方套件庫提供的 Node.js 版本較舊,建議使用 nvm(Node Version Manager)安裝最新版本:
# 更新系統套件
sudo dnf update -y
# 安裝必要的開發工具和相依套件
sudo dnf install -y curl wget git gcc gcc-c++ make python3
# 安裝 nvm(Node Version Manager)
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.7/install.sh | bash
# 重新載入 shell 設定
source ~/.bashrc
# 或者 source ~/.bash_profile
# 確認 nvm 安裝成功
nvm --version
# 安裝 Node.js 22 LTS
nvm install 22
nvm use 22
nvm alias default 22
# 確認 Node.js 版本
node --version
# 應顯示 v22.x.x
npm --version
重要:使用 NodeSource 替代方案
如果您是以系統服務方式運行 OpenClaw(不是以目前用戶身分),建議改用 NodeSource 的官方 RPM 套件,讓 Node.js 安裝在系統層級,方便 Systemd 服務調用:
curl -fsSL https://rpm.nodesource.com/setup_22.x | sudo bash -
sudo dnf install -y nodejs
node --version
步驟二:安裝 OpenClaw
Node.js 環境就緒後,透過 npm 全域安裝 OpenClaw:
# 全域安裝 OpenClaw(需要足夠的磁碟空間)
npm install -g openclaw@latest
# 確認安裝成功
openclaw --version
# 或者使用 curl 一鍵安裝(自動處理 Node.js 相依)
curl -fsSL https://openclaw.ai/install.sh | bash
# 安裝完成後重新載入 PATH
source ~/.bashrc
# 再次確認
which openclaw
openclaw --version
步驟三:處理 CentOS 特有的 SELinux 設定
這是 CentOS Stream 9 安裝 OpenClaw 最容易踩坑的環節。SELinux 的強制模式(Enforcing)會阻止 OpenClaw 的某些操作,特別是網路連線和檔案系統存取。以下是正確的處理方式:
錯誤做法(不建議!)
許多教學建議直接關閉 SELinux,這在企業環境中是危險且不合規的做法:
# ❌ 不要這樣做!
sudo setenforce 0
sudo sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
正確做法:建立 SELinux 策略
# 安裝 SELinux 工具
sudo dnf install -y policycoreutils-python-utils setools-console
# 暫時切換到寬鬆模式以記錄拒絕事件
sudo setenforce 0
# 啟動 OpenClaw 並操作幾分鐘,讓 SELinux 記錄所有需要的權限
openclaw onboard
# ... 操作幾分鐘後 ...
# 根據日誌自動生成 SELinux 策略
sudo ausearch -c 'openclaw' --raw | audit2allow -M openclaw-policy
sudo semodule -i openclaw-policy.pp
# 恢復 SELinux 強制模式
sudo setenforce 1
# 確認策略已載入
sudo semodule -l | grep openclaw
步驟四:設定 firewalld 防火牆規則
CentOS Stream 9 預設啟用 firewalld 防火牆。如果您需要讓外部設備存取 OpenClaw 的 Web Dashboard,需要開放對應埠:
# 確認 firewalld 狀態
sudo systemctl status firewalld
# 查看當前開放的服務和埠
sudo firewall-cmd --list-all
# 開放 OpenClaw Web Dashboard 埠(8421)
sudo firewall-cmd --permanent --add-port=8421/tcp
# 重新載入防火牆設定
sudo firewall-cmd --reload
# 確認埠已開放
sudo firewall-cmd --list-ports
# 如果只需本機存取(不對外開放),可以跳過上述步驟
# 透過 SSH Tunnel 安全存取 Dashboard:
# 在本地電腦執行:ssh -L 8421:localhost:8421 user@SERVER_IP
步驟五:OpenClaw 初始化與 Onboard
# 執行 OpenClaw 初始化流程
openclaw onboard
# 流程中需要提供:
# 1. AI 模型 API 金鑰(Claude 或 OpenAI)
# 2. AI 助理名稱和人格設定
# 3. 通訊平台設定(Telegram/WhatsApp/Discord)
# 執行健康狀態檢查
openclaw doctor
# 查看版本和設定摘要
openclaw --version
openclaw config show
步驟六:設定 Systemd 服務(讓 OpenClaw 開機自動啟動)
在企業 CentOS 環境中,最佳實踐是將 OpenClaw 設定為 Systemd 服務,確保開機自動啟動並在崩潰時自動重啟:
# 找到 openclaw 執行檔路徑
which openclaw
# 通常是 /usr/bin/openclaw 或 /home/user/.nvm/versions/node/v22.x.x/bin/openclaw
# 建立 Systemd 服務設定檔
sudo tee /etc/systemd/system/openclaw.service > /dev/null << 'EOF'
[Unit]
Description=OpenClaw Personal AI Assistant
After=network-online.target
Wants=network-online.target
[Service]
Type=simple
User=openclaw
Group=openclaw
WorkingDirectory=/home/openclaw
ExecStart=/usr/bin/openclaw start --daemon
Restart=on-failure
RestartSec=10
StandardOutput=journal
StandardError=journal
SyslogIdentifier=openclaw
Environment=NODE_ENV=production
Environment=HOME=/home/openclaw
[Install]
WantedBy=multi-user.target
EOF
# 建立專用的系統用戶(更安全)
sudo useradd -r -s /bin/false -d /home/openclaw openclaw
sudo mkdir -p /home/openclaw
sudo chown -R openclaw:openclaw /home/openclaw
# 複製 OpenClaw 設定到服務用戶目錄
sudo cp -r ~/.openclaw /home/openclaw/
sudo chown -R openclaw:openclaw /home/openclaw/.openclaw
# 重新載入 Systemd 設定
sudo systemctl daemon-reload
# 啟用並啟動 OpenClaw 服務
sudo systemctl enable openclaw
sudo systemctl start openclaw
# 確認服務狀態
sudo systemctl status openclaw
# 查看即時日誌
sudo journalctl -u openclaw -f
CentOS Stream 9 常見問題排解
問題:npm install 時出現 EACCES 權限錯誤
使用全域安裝(-g)時,預設 npm 全域目錄在 /usr/lib/node_modules,需要 root 權限。建議更改 npm 全域目錄:
mkdir -p ~/.npm-global
npm config set prefix ~/.npm-global
echo 'export PATH=$HOME/.npm-global/bin:$PATH' >> ~/.bashrc
source ~/.bashrc
npm install -g openclaw@latest
問題:OpenClaw 服務啟動後馬上停止(SELinux AVC 拒絕)
透過 audit2allow 查看並解決 SELinux 拒絕問題:
sudo ausearch -m avc -ts recent
sudo tail -100 /var/log/audit/audit.log | grep openclaw
# 根據輸出使用 audit2allow 生成策略
問題:OpenClaw 無法連線到 Claude API(連線逾時)
CentOS Stream 9 的 crypto-policies 預設值較嚴格,可能影響某些 TLS 連線。同時在部分亞洲地區,直接存取 Anthropic API 可能受到網路限制。建議在伺服器上設定 VPN07 代理,確保 API 連線穩定。VPN07 提供 1000Mbps 千兆頻寬,專為企業 AI 工作負載設計。
問題:記憶體不足,Node.js 崩潰(SIGKILL)
# 在 Systemd 服務設定中增加記憶體限制提示
# 編輯 /etc/systemd/system/openclaw.service:
[Service]
Environment=NODE_OPTIONS=--max-old-space-size=2048
# 增加系統 swap 空間
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab
企業安全強化:CentOS Stream 9 最佳實踐
在企業環境中部署 OpenClaw,以下安全強化措施是必要的:
使用專用低權限用戶運行
如前文所示,建立 openclaw 系統用戶,避免以 root 或開發者帳號運行 OpenClaw,降低潛在安全風險。
API 金鑰安全存儲
使用 systemd-creds 或環境變數檔案(設定 600 權限)存儲 API 金鑰,避免硬編碼在設定檔中。定期輪換 API 金鑰。
啟用稽核日誌
CentOS Stream 9 的 auditd 服務預設啟用。確保 OpenClaw 的所有操作都能被追蹤,特別是在需要 SOC2 或 ISO27001 合規的企業環境中。
設定定期更新
使用 dnf-automatic 設定自動安全更新,同時定期透過 npm update -g openclaw 更新 OpenClaw 到最新版本,獲得最新的安全修補程式。
如何保持 OpenClaw 版本最新
在 CentOS Stream 9 企業環境中,定期更新 OpenClaw 至最新版本非常重要,新版本通常包含安全修補程式和新功能。建議每兩週執行一次更新:
# 更新 OpenClaw
npm install -g openclaw@latest
# 確認版本
openclaw --version
# 若使用 Systemd 服務,更新後重啟
sudo systemctl restart openclaw
sudo systemctl status openclaw
CentOS Stream 9 的滾動更新優勢
CentOS Stream 9 作為 RHEL 9 的上游,其套件更新速度快於穩定版。這意味著您的 OpenClaw 運行環境能夠更快地獲得底層 Node.js 執行時的效能改進和安全修補,讓您的企業 AI 助理始終保持最佳狀態。建議同時設定自動安全更新:sudo dnf install -y dnf-automatic,並啟用 sudo systemctl enable --now dnf-automatic-install.timer。
OpenClaw 在企業環境中的實際應用場景
部署在 CentOS Stream 9 企業伺服器上的 OpenClaw,能夠發揮以下企業級應用價值:
IT 工單自動化處理
整合企業的 JIRA、ServiceNow 或 Redmine,當有新工單時自動分析優先級、分配處理人員,並在 Slack/Teams 發送通知,節省 IT 人員的重複性工作。
伺服器監控日報
設定 Heartbeat 定時任務,每天早上 8 點自動統計伺服器群的 CPU 使用率、記憶體、磁碟空間,生成摘要報告並發送給管理者。
文件智能處理
透過 Skills 整合企業文件系統,讓 OpenClaw 能夠搜尋、摘要、翻譯公司內部文件,員工只需透過 Telegram 或 Discord 提問即可獲得答案。
安全事件警報
監控 /var/log/audit/audit.log 和 /var/log/secure,當偵測到異常登入嘗試、特權命令執行等安全事件時,即時透過 Telegram 發送警報給安全團隊。
VPN 推薦:企業 CentOS 伺服器 AI 工具加速
VPN07 — 企業 AI 伺服器加速首選
十年老牌,Linux 伺服器完美支援,企業 CentOS 環境 OpenClaw 部署的最佳 VPN 搭檔。
2. ExpressVPN
7.1/10知名品牌,但 Linux CLI 設定複雜,月費高($8-12/月),對於企業大規模部署來說成本較高。
3. ProtonVPN
7.0/10有 Linux 命令行支援,但亞洲節點較少,API 延遲較高,不適合台灣或亞洲地區的企業伺服器使用。
VPN07 — CentOS AI 助理加速首選
十年品牌 · 千兆頻寬 · 全球 70+ 節點
在 CentOS Stream 9 企業伺服器上跑 OpenClaw,穩定的千兆連線是企業 AI 工作流程的關鍵。VPN07 是十年老牌 VPN 服務,每月僅需 $1.5,為企業 AI 助理提供全天候高速、穩定的網路連線保障。