Red Hat Training

A Red Hat training course is available for RHEL 8

14.4. USB デバイスの永続的なブロックおよび許可

-p オプションを使用すると、USB デバイスを永続的にブロックおよび許可できます。これにより、デバイス固有のルールが現在のポリシーに追加されます。

前提条件

  • usbguard サービスがインストールされており、実行している。

手順

  1. usbguard デーモンがルールの書き込みを許可するように SELinux を設定します。

    1. usbguard に関連する semanage ブール値を表示します。

      # semanage boolean -l | grep usbguard
      usbguard_daemon_write_conf     (off  ,  off)  Allow usbguard to daemon write conf
      usbguard_daemon_write_rules    (on   ,   on)  Allow usbguard to daemon write rules
    2. 必要に応じて、usbguard_daemon_write_rules のブール値が無効になっている場合は、有効にします。

      # semanage boolean -m --on usbguard_daemon_write_rules
  2. USBGuard が認識する USB デバイスのリストを表示します。

    # usbguard list-devices
    1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
    ...
    6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
  3. デバイス 6 がシステムと対話することを永続的に許可します。

    # usbguard allow-device 6 -p
  4. デバイス 6 の許可を永続的に解除し、デバイスを削除します。

    # usbguard reject-device 6 -p
  5. デバイス 6 の許可を永続的に解除し、デバイスを保持します。

    # usbguard block-device 6 -p
注記

USBGuard では、block および reject は以下の意味で使用されます。

block
今はこのデバイスと対話しません。
reject
このデバイスは存在しないものとして無視します。

検証

  1. USBGuard ルールに加えた変更が含まれていることを確認します。

    # usbguard list-rules

関連情報

  • usbguard(1) の man ページ
  • usbguard --help コマンドを使用してリスト表示される組み込みヘルプ。