Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.12.2. White List および Black List の作成

usbguard-daemon.conf ファイルは、コマンドラインオプションを解析した後に usbguard デーモンにより読み込まれ、デーモンのランタイムパラメーターの設定に使用されます。デフォルトの設定ファイル(/etc/usbguard/usbguard-daemon.conf) を上書きするには、-c コマンドラインオプションを使用します。詳細は、man ページの usbguard-daemon(8) を参照してください。
ホワイトリストまたはブラックリストを作成するには、usbguard-daemon.conf ファイルを編集して、以下のオプションを使用します。

usbguard 設定ファイル

RuleFile=<path>
usbguard デーモンは、このファイルからポリシールールセットを読み込み、IPIP インターフェースを介して受信した新規ルールを作成します。
IPCAllowedUsers=<username> [<username> ...]
デーモンが IPC 接続を受け入れるユーザー名のスペース区切りの一覧。
IPCAllowedGroups=<groupname> [<groupname> ...]
デーモンが IPC 接続を受け入れるグループ名のスペース区切りの一覧。
IPCAccessControlFiles=<path>
IPC アクセス制御ファイルを保持するディレクトリーへのパスです。
ImplicitPolicyTarget=<target>
ポリシーのルールに一致しないデバイスを処理する方法。許可される値: allow、block、reject。
PresentDevicePolicy=<policy>
デーモンの開始時にすでに接続されているデバイスを処理する方法:
  • allow: 存在するすべてのデバイスを承認します。
  • block - 存在するデバイスをすべて認証解除します。
  • reject - 存在するデバイスをすべて削除します
  • keep: 内部状態を同期し、そのままにする
  • apply-policy - 存在するすべてのデバイスのルールセットを評価します
PresentControllerPolicy=<policy>
デーモンの開始時にすでに接続している USB コントローラーを処理する方法:
  • allow: 存在するすべてのデバイスを承認します。
  • block - 存在するデバイスをすべて認証解除します。
  • reject - 存在するデバイスをすべて削除します
  • keep: 内部状態を同期し、そのままにする
  • apply-policy - 存在するすべてのデバイスのルールセットを評価します

例4.5 usbguard の設定

以下の設定ファイルは、usbguard デーモンが /etc/usbguard/rules.conf ファイルからルールを読み込み、usbguard グループのユーザーのみが IPC インターフェースを使用できるようにします。
RuleFile=/etc/usbguard/rules.conf
IPCAccessControlFiles=/etc/usbguard/IPCAccessControl.d/
IPC アクセス制御リスト(ACL)を指定するには、usbguard add-user または usbguard remove-user コマンドを使用します。詳細は usbguard(1) を参照してください。この例では、usbguard グループのユーザーに USB デバイス認証状態の変更、USB デバイスの一覧表示、例外イベントをリッスンし、USB 認証ポリシーを一覧表示するには、root で以下のコマンドを実行します。
~]# usbguard add-user -g usbguard --devices=modify,list,listen --policy=list --exceptions=listen
重要
デーモンは、USBGuard パブリック IPC インターフェースを提供します。Red Hat Enterprise Linux では、このインターフェースへのアクセスはデフォルトで root ユーザーのみに制限されますIPC インターフェースへのアクセスを制限するには、IPCAccessControlFiles オプション(推奨) または IPCAllowedUsers オプションおよび IPCAllowedGroups オプションのいずれかを設定することを考慮してください。ACL は、すべてのローカルユーザーに IPC インターフェイスを公開するため、未設定のままにしないでください。また、USB デバイスの認証状態を操作して USBGuard ポリシーを変更できるようになります。
詳細は、man ページの usbguard-daemon.conf(5) の IPC Access Control セクションを参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。