Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.12. USBGuard の使用

USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。ユーザー定義のポリシーを適用するために、USBGuard は Linux カーネルの USB デバイス認証機能を使用します。USBGuard フレームワークは、次を提供します。
  • 動的対話とポリシー施行のためのプロセス間通信 (IPC) インターフェイスを持つデーモンコンポーネント。
  • 実行中の USBGuard インスタンスと対話するためのコマンドラインインターフェイス。
  • USB デバイス認証ポリシーを記述するルール言語
  • 共有ライブラリーに実装されているデーモンコンポーネントと対話する C++ API

4.12.1. USBGuard のインストール

usbguard パッケージをインストールするには、root で以下のコマンドを入力します。 
~]# yum install usbguard
初期ルールセットを作成するには、root で以下のコマンドを入力します。 
~]# usbguard generate-policy > /etc/usbguard/rules.conf
注記
USBGuard ルールセットをカスタマイズするには、/etc/usbguard/rules.conf ファイルを編集します。詳細は、usbguard-rules.conf(5) の man ページを参照してください。使用例は 「ルール言語を使って独自のポリシーを作成する」 を参照してください。
USBGuard デーモンを起動するには、root で以下のコマンドを入力します。 
~]# systemctl start usbguard.service
~]# systemctl status usbguard
● usbguard.service - USBGuard daemon
   Loaded: loaded (/usr/lib/systemd/system/usbguard.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-06-06 13:29:31 CEST; 9s ago
     Docs: man:usbguard-daemon(8)
 Main PID: 4984 (usbguard-daemon)
   CGroup: /system.slice/usbguard.service
           └─4984 /usr/sbin/usbguard-daemon -k -c /etc/usbguard/usbguard-daem...
システムの起動時に USBGuard が自動的に起動するようにするには、root で以下のコマンドを使用します。 
~]# systemctl enable usbguard.service
Created symlink from /etc/systemd/system/basic.target.wants/usbguard.service to /usr/lib/systemd/system/usbguard.service.
USBGuard によって認識されるすべての USB デバイスを一覧表示するには、root で以下のコマンドを入力します。 
~]# usbguard list-devices
1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
...
6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
デバイスがシステムと対話することを許可するには、allow-device オプションを使用します。 
~]# usbguard allow-device 6
デバイスの認証を解除してシステムから削除するには、reject-device オプションを使用します。デバイスの認証を解除するだけの場合は、block-device オプションを指定して usbguard コマンドを使用します。 
~]# usbguard block-device 6
USBGuard では、block および reject は以下の意味で使用されます。
  • block - 今は、このデバイスとはやりとりしない
  • reject - このデバイスは存在しないものとして無視する
usbguard コマンドのすべてのオプションを表示するには、--help ディレクティブを表示して入力してください。 
~]$ usbguard --help