Red Hat Training

A Red Hat training course is available for RHEL 8

14.5. USB デバイス用のカスタムポリシーの作成

以下の手順では、シナリオの要件を反映する USB デバイス用のルールセットを作成する手順を説明します。

前提条件

  • usbguard サービスがインストールされており、実行している。
  • /etc/usbguard/rules.conf ファイルには、usbguard generate-policy コマンドで生成した初期ルールセットが含まれます。

手順

  1. 現在接続している USB デバイスを許可するポリシーを作成し、生成されたルールを rules.conf ファイルに保存します。 

    # usbguard generate-policy --no-hashes > ./rules.conf

    --no-hashes オプションは、デバイスのハッシュ属性を生成しません。設定のハッシュ属性は永続的ではない可能性があるため、回避してください。

  2. 選択したテキストエディターで rules.conf ファイルを編集します。次に例を示します。 

    # vi ./rules.conf

  3. 必要に応じて、ルールを追加、削除、または編集します。たとえば、以下のルールを使用すると、大容量ストレージインターフェイスが 1 つあるデバイスのみがシステムと対話できます。 

    allow with-interface equals { 08:*:* }

    詳細なルール言語の説明とその他の例は、usbguard-rules.conf(5) の man ページを参照してください。

  4. 更新したポリシーをインストールします。 

    # install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

  5. usbguard デーモンを再起動して、変更を適用します。 

    # systemctl restart usbguard

検証

  1. カスタムルールがアクティブポリシーにあることを確認します。以下に例を示します。 

    # usbguard list-rules
...
4: allow with-interface 08:*:*
...

関連情報

  • usbguard-rules.conf(5) man ページ