Red Hat Training

A Red Hat training course is available for RHEL 8

15.4. USB デバイスの永続的なブロックおよび認証

-p オプションを使用すると、USB デバイスを永続的にブロックして認証できます。これにより、デバイス固有のルールが現在のポリシーに追加されます。

前提条件

  • usbguard サービスがインストールされており、実行している。

手順

  1. usbguard デーモンがルールの書き込みを許可するように SELinux を設定します。

    1. usbguard に関連する semanage ブール値を表示します。 

      # semanage boolean -l | grep usbguard
usbguard_daemon_write_conf     (off  ,  off)  Allow usbguard to daemon write conf
usbguard_daemon_write_rules    (on   ,   on)  Allow usbguard to daemon write rules

    2. 必要に応じて、usbguard_daemon_write_rules のブール値が無効になっている場合は、有効にします。 

      # semanage boolean -m --on usbguard_daemon_write_rules

  2. USBGuard が認識する USB デバイスの一覧を表示します。 

    # usbguard list-devices
1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
...
6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50

  3. デバイス 6 を永続的に認証してシステムと対話します。 

    # usbguard allow-device 6 -p

  4. デバイス 6 の認証を完全に解除して削除します。 

    # usbguard reject-device 6 -p

  5. デバイス 6 の認証を永続的に解除し、デバイスは保持します。 

    # usbguard block-device 6 -p
注記

USBGuard では、block および reject は以下の意味で使用されます。

  • block - 今は、このデバイスと対話しない
  • reject - このデバイスを、存在しないかのように無視する

検証

  1. USBGuard ルールに変更が含まれていることを確認します。 

    # usbguard list-rules

関連情報

  • usbguard(1) の man ページ
  • usbguard --help コマンドを使用して一覧表示される組み込みヘルプ。