Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.12.2. ホワイトリストおよびブラックリストの作成

usbguard-daemon.conf ファイルは、コマンドラインオプションを解析した後、usbguard デーモンによってロードされ、デーモンのランタイムパラメーターを設定するために使用されます。デフォルトの設定ファイル (/etc/usbguard/usbguard-daemon.conf) を上書きするには、-c コマンドラインオプションを使用します。詳細は、usbguard-daemon(8) の man ページを参照してください。
ホワイトリストまたはブラックリストを作成するには、usbguard-daemon.conf ファイルを編集し、次のオプションを使用します。

USBGuard 設定ファイル

RuleFile=<path>
usbguard デーモンは、このファイルを使用して、そこからポリシールールセットをロードし、IPC インターフェイスを介して受信した新しいルールを書き込みます。
IPCAllowedUsers=<username> [<username> ...]
デーモンが IPC 接続を受け入れるユーザー名のスペース区切りのリスト。
IPCAllowedGroups=<groupname> [<groupname> ...]
デーモンが IPC 接続を受け入れるグループ名のスペース区切りのリスト。
IPCAccessControlFiles=<path>
IPC アクセス制御ファイルを保持するディレクトリーへのパス。
ImplicitPolicyTarget=<target>
ポリシーのどのルールにも一致しないデバイスを処理する方法。許容される値は allow、block、および reject です。
PresentDevicePolicy=<policy>
デーモンの起動時にすでに接続されているデバイスを処理する方法:
  • allow - 存在するデバイスをすべて認証する
  • block - 存在するデバイスの認証をすべて解除する
  • reject - 存在するデバイスをすべて削除する
  • keep - 内部ステータスの同期してそのままにする
  • apply-policy - 存在するすべてのデバイスに対してルールセットを評価する
PresentControllerPolicy=<policy>
デーモンの起動時にすでに接続されている USB コントローラーを処理する方法:
  • allow - 存在するデバイスをすべて認証する
  • block - 存在するデバイスの認証をすべて解除する
  • reject - 存在するデバイスをすべて削除する
  • keep - 内部ステータスの同期してそのままにする
  • apply-policy - 存在するすべてのデバイスに対してルールセットを評価する

例4.5 USBGuard 設定

次の設定ファイルは、usbguard デーモンに /etc/usbguard/rules.conf ファイルからルールをロードするように命令し、usbguard グループのユーザーのみに IPC インターフェイスの使用を許可します。 
RuleFile=/etc/usbguard/rules.conf
IPCAccessControlFiles=/etc/usbguard/IPCAccessControl.d/
IPC アクセス制御リスト (ACL) を指定するには、usbguard add-user コマンドまたは usbguard remove-user コマンドを使用します。詳細は usbguard(1) を参照してください。この例では、usbguard グループのユーザーが USB デバイス認証状態を変更し、USB デバイスを一覧表示し、例外イベントをリッスンし、USB 認証ポリシーを一覧表示できるようにするには、root で以下のコマンドを入力します。 
~]# usbguard add-user -g usbguard --devices=modify,list,listen --policy=list --exceptions=listen
重要
デーモンは、USBGuard パブリック IPC インターフェイスを提供します。Red Hat Enterprise Linux では、このインターフェイスへのアクセスはデフォルトで root ユーザーのみに制限されています。IPC インターフェイスへのアクセスを制限するには、IPCAccessControlFiles オプション (推奨)、IPCAllowedUsers オプション、および IPCAllowedGroups オプションを設定することを検討してください。ACL を未設定のままにしないでください。設定しないと、すべてのローカルユーザーに IPC インターフェイスが公開され、ローカルユーザーが USB デバイスの認証状態を操作したり、USBGuard ポリシーを変更したりすることが可能となります。
詳細は、usbguard-daemon.conf(5) の man ページの IPC アクセス制御のセクションを参照してください。