12.4. Bloquear y autorizar permanentemente un dispositivo USB
Puede bloquear y autorizar permanentemente un dispositivo USB utilizando la opción -p. Esto añade una regla específica del dispositivo a la política actual.
Requisitos previos
-
El servicio
usbguardestá instalado y funcionando.
Procedimiento
Configure SELinux para permitir que el demonio
usbguardescriba reglas.Muestra los booleanos de
semanagerelevantes parausbguard.# semanage boolean -l | grep usbguard usbguard_daemon_write_conf (off , off) Allow usbguard to daemon write conf usbguard_daemon_write_rules (on , on) Allow usbguard to daemon write rulesOpcional: Si el booleano
usbguard_daemon_write_rulesestá desactivado, actívelo.# semanage boolean -m --on usbguard_daemon_write_rules
Lista de dispositivos USB reconocidos por USBGuard:
# usbguard list-devices 1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00 ... 6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
Autorizar permanentemente el dispositivo 6 para interactuar con el sistema:
# usbguard allow-device 6 -pDesautorizar permanentemente y eliminar el dispositivo 6:
# usbguard reject-device 6 -pDesautorizar permanentemente y retener el dispositivo 6:
# usbguard block-device 6 -p
USBGuard utiliza los términos block y reject con el siguiente significado:
- block: no interactúe con este dispositivo por ahora.
- reject: ignora este dispositivo como si no existiera.
Verificación
Compruebe que las reglas de
USBGuardincluyen los cambios realizados.# usbguard list-rules
Recursos adicionales
Lista todas las opciones del comando
usbguard:$ usbguard --help-
usbguard(1)página de manual
