名称： clauditor
描述： Clawdbot 代理的防篡改审计看门狗。通过 HMAC 链式证据检测并记录可疑的文件系统活动。
主页： https://github.com/apollostreetcompany/clauditor
元数据： {"clawdbot":{"emoji":"🛡️","requires":{"bins":["cargo","systemctl"],"os":"linux"}}}

Clauditor

安全看门狗，用于监控文件系统活动并生成防篡改日志。即使 Clawdbot 被攻破，也无法停止看门狗、伪造条目或删除证据。

安装（引导式）

使用 CLI 向导引导用户完成安装：

cd /path/to/clauditor
cargo build --release

代理工作流程

1. 检查状态： ./target/release/clauditor wizard status

   • 返回包含 current_step (1-6) 和 complete (true/false) 的 JSON。

2. 获取下一步： ./target/release/clauditor wizard next

   • 显示操作内容、原因说明以及要运行的具体命令。

3. 用户执行 sudo 命令。

4. 验证： ./target/release/clauditor wizard verify

   • 确认步骤已完成。

5. 重复直到 complete: true。

交互示例

用户："安装 clauditor"

代理：[运行 wizard status → current_step: 1]
代理："第 1 步 / 共 6 步：创建系统用户

此步骤创建运行看门狗的 'sysaudit' 用户。即使您的账户被攻破，也无法终止属于其他用户的进程。

运行此命令：
sudo useradd --system --shell /usr/sbin/nologin --no-create-home sysaudit

完成后请告知。"

用户："完成"

代理：[运行 wizard verify → 成功]
代理：[运行 wizard next → 第 2 步...]

安装后

检查状态

systemctl status systemd-journaldd

生成摘要

./target/release/clauditor digest \
  --log /var/lib/.sysd/.audit/events.log \
  --key /etc/sysaudit/key \
  --format markdown

快速安装（高级用户）

sudo bash wizard/wizard.sh

配置

• 配置文件：/etc/sysaudit/config.toml
• 密钥文件：/etc/sysaudit/key
• 日志文件：/var/lib/.sysd/.audit/events.log

编辑配置文件以自定义 watch_paths 和 target_uid。