Red Hat Training

A Red Hat training course is available for RHEL 8

14.4. 永久阻塞和授权 USB 设备

您可以使用 -p 选项永久阻止和授权 USB 设备。这会在当前策略中添加特定于设备的规则。

先决条件

  • usbguard 服务已安装并运行。

流程

  1. 配置 SELinux,以允许 usbguard 守护进程编写规则。

    1. 显示与 usbguard 相关的 semanage 布尔值。

      # semanage boolean -l | grep usbguard
      usbguard_daemon_write_conf     (off  ,  off)  Allow usbguard to daemon write conf
      usbguard_daemon_write_rules    (on   ,   on)  Allow usbguard to daemon write rules
    2. 可选:如果 usbguard_daemon_write_rules 布尔值已关闭,请将其打开。

      # semanage boolean -m --on usbguard_daemon_write_rules
  2. 列出 USBGuard 识别的 USB 设备

    # usbguard list-devices
    1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
    ...
    6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
  3. 永久授权设备 6 与系统交互:

    # usbguard allow-device 6 -p
  4. 永久取消授权并删除设备 6

    # usbguard reject-device 6 -p
  5. 永久取消授权并保留设备 6

    # usbguard block-device 6 -p
注意

usbguard 使用术语 并拒绝,其含义如下:

  • block :暂时不要与此设备交互。
  • reject :忽略这个设备,就像它不存在一样。

验证

  1. 检查 USBGuard 规则是否包含您所做的更改。

    # usbguard list-rules

其它资源

  • usbguard(1) 手册页.
  • 使用 usbguard --help 命令列出内置帮助。