Почему нет каналов после onboard?

Часто демон не читает тот же каталог credentials или расходятся тумблеры плагинов и каналов.

Нужен ли ещё gateway probe?

Да для слоя RPC по официальной лестнице; эта статья про слой секретов.

429 всегда из-за ключа?

Чаще квоты или длина контекста; сначала models status и подписи provider.

OpenClaw 2026 — после первого `onboard` всё ещё сломано: каталог `credentials`, приоритет переменных окружения, переключение провайдера и цепочка `status` → `gateway status` → `doctor` → логи

Успешный onboard-скрипт не гарантирует, что демон шлюза читает те же секреты, что и интерактивная оболочка. Расхождения HOME, поздно подхваченные EnvironmentFile в systemd или неверные префиксы модели дают шаблон «CLI работает, шлюз 401/429». Этот материал дополняет официальную лестницу диагностики и ссылается на pairing, split brain, Docker Compose и канал без ответа. Коллизии бинарников снимайте через гайд по способам установки.

Содержание

1. Типы дрейфа: HOME, пустой credentials, строка провайдера
2. Матрица: API-файл, OAuth, несколько провайдеров
3. How-to: семь шагов после onboard
4. Слои и сигнатуры в логах
5. Поля тикета для аудита
6. FAQ
7. Вывод и удалённый Mac

1. Типы дрейфа: HOME, пустой credentials, строка провайдера

Три класса покрывают большинство кейсов: другой пользователь сервиса, пустой каталог при существующем пути, или несовпадение маршрута с openclaw models status.

Зафиксировать фактического пользователя демона.
Сверить приоритет переменных и JSON.
429 и молчание канала отнести к канальному runbook после чистой credentials-фазы.

2. Матрица: API-файл, OAuth, несколько провайдеров

Измерение	API-файл	OAuth	Несколько провайдеров
Хранение	credentials + chmod 600	refresh + callback	раздельные файлы/префиксы
Демон	явный EnvironmentFile	job того же пользователя	единый маршрут
Порядок	ls затем doctor	логи OAuth затем модель	models status затем channels

3. How-to: семь шагов после onboard

# 1) Процесс шлюза и HOME
ps aux | grep -i openclaw
echo "$HOME"
ls -la ~/.openclaw/credentials/

Записать User= и WorkingDirectory.
Минимальные права и запрет секретов в Git.
В одной оболочке openclaw status и openclaw gateway status.
Полный рестарт после смены env.
Смена провайдера минимальным diff согласованно.
Сохранить redacted openclaw doctor.
Затем gateway probe и каналы по официальной лестнице.

# 2) Пример systemd
Environment=OPENCLAW_HOME=/home/oc/.openclaw

4. Слои и сигнатуры в логах

Соблюдайте status → gateway status → doctor, затем фильтры 401 403 429 credential provider. Зелёный RPC при молчании чата отправляет к канальному runbook.

Углубление: эксплуатация, комплаенс и частые ошибки

После первого успешного onboard OpenClaw шлюз часто остаётся «полуживым»: CLI отвечает в чате, а демон под другим пользователем Unix не видит тот же каталог ~/.openclaw/credentials/ и не получает ту же последовательность переменных окружения. Для аудита это плохая история, если в тикете не зафиксирован реальный User= сервиса.

Вторая ловушка — пустой каталог credentials: структура есть, файлов ключей нет. doctor может выдать слабое предупреждение, а 401 проявляется только на вызове модели, из-за чего команды гоняются за мессенджерами вместо файловой системы.

Третья ловушка — префиксы провайдера и строки модели: рассинхрон между конфигурацией и openclaw models status оставляет в логах подписи вроде provider mismatch. Перезапускать OAuth в такой ситуации дорого и бессмысленно, если достаточно одной строки маршрутизации.

Этот материал дополняет официальную «лестницу» от 6 мая 2026 года: там RPC и gateway probe, здесь — слой секретов, приоритет env и минимальные переключения провайдера. Читать нужно оба, не заменяя один другим.

Для лёгкого аудиторского тона достаточно фиксировать каждую ротацию: ID тикета, время и redacted-список имён файлов без открытых секретов. Этого часто хватает внутренним аудиторам для трассируемости без лишнего хранения.

Приоритет systemd EnvironmentFile, shell-профилей, Docker env и inline JSON может меняться между минорными версиями. После правок секретов делайте полный перезапуск шлюза, а не полагайтесь на hot reload, если открыты дескрипторы ключей.

OAuth требует, чтобы задачи обновления токенов работали под тем же пользователем, что и демон; иначе обновлённые токены окажутся в HOME, который сервис не читает, и появятся «плавающие» 401 при исправном сервере авторизации.

Файлы API-ключей должны иметь chmod 600 и не попадать в Git. Добавьте secret-scan в CI, чтобы поздние аудиты не ловили случайные утечки, пока шлюз копит артефакты в домашнем каталоге.

Мульти-провайдер требует единого источника правды: отдельные файлы или чёткие префиксы переменных. Противоречивые ключи в нескольких местах дают паттерн «ручной shell зелёный, сервис красный».

Рекомендуемый порядок: openclaw status, затем openclaw gateway status, потом openclaw doctor, и только потом поиск в логах по 401, 403, 429, credential, provider. Каждый шаг даёт артефакт для ревью изменений.

Если gateway status --deep показывает разные бинарники CLI и сервиса, сначала устраните split brain установки по гайду install, и только потом крутите секреты.

Docker Compose требует явных uid/gid для томов; связанная матрица про токены и WebSocket дополняет этот текст сквозным runbook.

Pairing и версии остаются важны: идеальные секреты не помогут, если рукопожатие control plane ломается. Читайте runbook pairing, когда строки версий расходятся.

Зонды каналов могут быть зелёными, а чат молчит — см. материал про отсутствие ответа и двойные переключатели; не начинайте там, пока слой credentials не подтверждён.

Для постмортемов приложите пользователя Unix, список имён в credentials с хэшем, краткий doctor, строку модели, время последнего полного рестарта. Без этого разбор остаётся гаданием.

429 чаще про квоты и длину контекста, а не про «битый» секрет. Но перед закупкой мощности убедитесь, какой провайдер реально выбран маршрутизатором.

Откаты опирайте на версионированные снапшоты, а не на память в чате — аудиторам проще ссылаться на хэши артефактов без утечки секретов.

Назначьте одного владельца секретов; параллельные эксперименты на одной машине быстро ломают идею стабильного HOME. Арендуемые удалённые Mac часто упрощают модель владения.

Не пишите полные ключи в центральные логи; используйте короткие хэши и correlation id — это помогает обосновывать законность обработки по GDPR-подобным рамкам.

Различия переменных в launchd и интерактивной zsh требуют документировать те export, которые видит демон, а не только echo в терминале разработчика.

Всегда запускайте models status тем же бинарным путём, что и сервис; алиасы разработчика часто обманывают.

Разделяйте staging и production ключи, чтобы нагрузочные тесты не сжигали продовые квоты.

Указывайте часовые пояса в тикетах для корреляции логов в распределённых командах, особенно около OAuth refresh.

Security review должен проверять ACL каталога credentials; слишком широкие права — частый внутренний finding.

Обучайте новых операторов на стенде: мышечная память последовательности снижает нагрузку на дежурство сильнее новых дашбордов.

При смене OAuth scopes инвалидируйте refresh-токены и архивируйте старые файлы вместо тихой перезаписи, чтобы откаты оставались возможны.

Добавьте счётчики ошибок аутентификации по model id, чтобы ловить дрейф раньше полного поиска по логам.

Одностраничная схема с путями относительно HOME помогает compliance без раскрытия секретов.

Итог: onboard — это вход, а не финиш; сочетайте слойность, минимальные переключения провайдера и дисциплину тикетов для стабильного шлюза OpenClaw.

Публикуйте ежеквартальный обезличенный отчёт: число ротаций, инциденты по секретам, медиана времени восстановления при соблюдении цепочки status→doctor — так бизнес лучше видит зрелость, чем по сырым логам.

Дублируйте матрицу решений по регионам, чтобы фиксация, проверенная в одном контуре, не скрыла ошибку EnvironmentFile в другом.

Храните тикеты с запросами привилегированного доступа к credentials, включая отказы с комментарием — внешним аудиторам это доказывает культуру least privilege.

Для каждого нового провайдера ИИ заведите лист с переменными окружения и порядком приоритета как приложение между командами моделей и платформы.

Нагрузочные тесты на огромных промптах запрещайте на ключах, общих с продом; выделяйте изолированные аккаунты, иначе волна 429 выглядит как атака.

Согласуйте политику ретенции логов: при её росте проверьте, что агрегаторы не тянут секреты в открытом виде.

Закладывайте полдня в год на прогон последовательности на одноразовой машине — дешевле многочасового сбоя в релизный день.

В договорах с аутсорсом пропишите экстренный доступ к redacted-артефактам, а не к секретам, чтобы сохранить трассируемость при работе поставщика с ФС.

Фиксируйте версию unit/plist и хэш конфигурации после каждого изменения — ускоряет сравнение при регрессии между минорами.

Если поверх systemd есть оркестратор, проверьте, не перезаписывает ли он переменные поздним шагом — редко, но дорого в отладке.

Пользовательские истории в чате не заменяют артефакты CLI: скриншоты только как иллюстрация, не как основное доказательство.

Перед мажорным релизом заморозьте окно без параллельной ротации секретов вместе с критическими merge — иначе release notes и смена ключей конкурируют за одну ночь, а откаты теряют читаемость.

Юридическим командам помогает явное указание, какие логи фильтруются от секретов и какие поля всегда маскируются — ускоряет опросники к поставщикам.

Сетевые архитекторы должны получать redacted-копию тикетов по credentials, если инцидент касается TLS или прокси, чтобы не оптимизировать уже здоровый путь, пока слой секретов сломан.

Разработчики, автоматизирующие shell вокруг openclaw, должны наследовать те же переменные, что и unit systemd, иначе их боты обслуживания пишут файлы под неверным пользователем.

В дизайн-ревью новых внутренних ботов добавьте чекбокс: путь credentials проверен на целевом окружении, а не только на ноутбуке разработчика.

При миграции между хостами сравнивайте не только checksum бинарников, но и список имён в credentials и ACL — иначе успешный перенос кода оставит сервис без ключей.

Если вы включаете централизованный сбор логов, заранее опишите политику семплирования для шумных debug-уровней, чтобы случайно не утянуть чувствительные поля из временного verbose-режима.

Для гибридных Linux/Mac флотов согласуйте единый словарь терминов (credentials, secrets, tokens), чтобы эскалации между командами не терялись в переводе между ОС.

Периодически проверяйте, что резервные копии домашних каталогов сервисных учёток исключают или шифруют credentials согласно политике — иначе DR-план создаёт новый класс утечек.

При интеграции с корпоративным SSO документируйте, какие шаги OpenClaw остаются локальными файлами, а какие идут через облако идентичности, чтобы аудиторы видели границу ответственности.

Наконец, фиксируйте в runbook, кто имеет право объявлять инцидент «закрытым» после прохождения цепочки status→doctor→логи, чтобы преждевременные закрытия не скрывали хвосты в смежных слоях.

Добавьте в каждый тикет точную минорную версию OpenClaw — пара секунд сейчас экономит часы позже, когда меняются флаги CLI или приоритет переменных между релизами.

Если два инженера параллельно правят разные файлы в ~/.openclaw, введите короткий lock через тикет или чат-команда «credentials freeze», чтобы не получить гонку с частично записанным ключом.

Для долгоживущих токенов OAuth заведите календарь напоминаний о ротации до истечения, привязанный к сервисному аккаунту, а не к личному календарю владельца команды.

При смене дистрибутива Linux проверьте, не изменился ли путь к libc или динамическому линкеру так, что старый бинарник шлюза всё ещё запускается, но не видит обновлённых env из нового пакета.

Введите в тикетинг единый тег вроде «credentials-layer», чтобы ежеквартально фильтровать повторы и показывать руководству, что долг реально снижается, а не маскируется новыми дашбордами.

Если шлюз запускается из контейнера, а CLI — на хосте, явно распишите в runbook, какая сторона считается «истиной» для проверки credentials, иначе два инженера будут спорить с разными выводами ls.

При обновлении корневых сертификатов на хосте проверьте, не сломалась ли цепочка доверия для исходящих вызовов к API провайдера — симптом похож на «битый ключ», хотя менялись только CA.

Для смешанных окружений dev/staging/prod храните три отдельных шаблона тикетов с разными чек-листами прав доступа, чтобы случайно не применить продовый чек-лист к песочнице с ослабленными ACL.

Когда внешний консультант подключается по read-only SSH, заранее опишите, какие команды openclaw ему разрешены и где заканчивается доступ к каталогу credentials, иначе постфактум невозможно доказать, кто видел какие файлы.

После аварийного восстановления из бэкапа обязательно пересоберите цепочку status→gateway status→doctor, даже если сервис «поднялся»: частично восстановленный HOME может содержать старые права на credentials.

Если в организации принято хранить секреты в Vault, всё равно проверьте, что процесс шлюза монтирует тот же секретный путь, что указан в unit-файле, а не устаревший symlink.

5. Поля тикета для аудита

Добавьте владельца секретов, таймзону наблюдений и хэш снапшота конфигурации — этого достаточно многим внутренним аудитам без утечки ключей.

6. FAQ

В: тома Docker для credentials? О: см. матрицу Docker про uid.

В: пропустить doctor? О: нежелательно.

7. Вывод и удалённый Mac

Чистый слой секретов снова делает однозначными RPC и мессенджеры. Для шлюзов 24/7 см. SFTPMAC удалённый Mac.

Onboard — это вход; зрелость — в слоях доказательств и структурированных тикетах.

OpenClaw 2026 — после первого onboard всё ещё сломано: каталог credentials, приоритет переменных окружения, переключение провайдера и цепочка status → gateway status → doctor → логи