Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.12. 使用 USBGuard

USBGuard ソフトウェアフレームワークは、デバイス属性に基づいた基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。ユーザー定義ポリシーを適用するため、USBGuard は Linux カーネル USB デバイス認証機能を使用します。USBGuard フレームワークは、以下のコンポーネントを提供します。
  • 動的対話およびポリシー強制のためのプロセス間の通信(IPC)インターフェースを使用したデーモンコンポーネント。
  • 実行中の USBGuard インスタンスと対話するためのコマンドラインインターフェース
  • USB デバイス認証ポリシーを記述するルール言語。
  • 共有ライブラリーに実装されたデーモンコンポーネントと対話する C++ API

4.12.1. インストール USBGuard

usbguard パッケージをインストールするには、root で以下のコマンドを入力します。
~]# yum install usbguard
初期ルールセットを作成するには、root で以下のコマンドを入力します。
~]# usbguard generate-policy > /etc/usbguard/rules.conf
注記
USBGuard ルールセットをカスタマイズするには、/etc/usbguard/rules.conf ファイルを編集します。詳細は usbguard-rules.conf(5) の man ページを参照してください。また、例については、「ルール言語を使用した独自のポリシーの作成」 を参照してください。
USBGuard デーモンを起動するには、root で以下のコマンドを入力します。
~]# systemctl start usbguard.service
~]# systemctl status usbguard
● usbguard.service - USBGuard daemon
   Loaded: loaded (/usr/lib/systemd/system/usbguard.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-06-06 13:29:31 CEST; 9s ago
     Docs: man:usbguard-daemon(8)
 Main PID: 4984 (usbguard-daemon)
   CGroup: /system.slice/usbguard.service
           └─4984 /usr/sbin/usbguard-daemon -k -c /etc/usbguard/usbguard-daem...
システムの起動時に USBGuard を自動的に起動するように設定するには、root で以下のコマンドを実行します。
~]# systemctl enable usbguard.service
Created symlink from /etc/systemd/system/basic.target.wants/usbguard.service to /usr/lib/systemd/system/usbguard.service.
USBGuard が認識するすべての USB デバイスを一覧表示するには、root で以下のコマンドを入力します。
~]# usbguard list-devices
1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
...
6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
デバイスを承認してシステムと対話するには、allow-device オプションを使用します。
~]# usbguard allow-device 6
システムからデバイスを承認解除し、削除するには、reject-device オプションを使用します。デバイスを承認解除するだけを行うには、block-device オプションを指定して usbguard コマンドを使用します。
~]# usbguard block-device 6
USBGuard 以下の意味では、ブロック および 拒否 の用語を使用します。
  • block: 現在このデバイスと通信しない
  • reject - このデバイスを、存在しないかのように無視する
usbguard コマンドのすべてのオプションを表示するには、--help ディレクティブでオプションを入力します。
~]$ usbguard --help

このページには機械翻訳が使用されている場合があります (詳細はこちら)。