11.6. USB デバイス用の構造化されたカスタムポリシーの作成

手順

1. 現在接続されている USB デバイスを許可するポリシーを作成し、生成されたルールを新しい .conf ファイル (例: <policy.conf>) に保存します。

   # usbguard generate-policy --no-hashes > ./<policy.conf>

   --no-hashes オプションは、デバイスのハッシュ属性を生成しません。設定のハッシュ属性は永続的ではない可能性があるため、回避してください。

2. 任意のテキストエディターで <policy.conf> ファイルを開き、記録する必要があるルールが含まれる行を選択します。次に例を示します。

   ...
   allow id 04f2:0833 serial "" name "USB Keyboard" via-port "7-2" with-interface { 03:01:01 03:00:00 } with-connect-type "unknown"
   ...

3. 選択した行を別の .conf ファイルにコピーします。

   注記

   ファイル名の先頭にある 2 つの数字は、デーモンが設定ファイルを読み込む順序を指定します。

   たとえば、キーボードのルールを新しい .conf ファイルにコピーするには、次のコマンドを実行します。

   # grep "USB Keyboard" ./<policy.conf> > ./<10keyboards.conf>

4. 新しいポリシーを /etc/usbguard/rules.d/ ディレクトリーにインストールします。

   # install -m 0600 -o root -g root <10keyboards.conf> /etc/usbguard/rules.d/<10keyboards.conf>

5. 残りの行をメインの rules.conf ファイルに移動します。

   # grep -v "USB Keyboard" ./policy.conf > ./rules.conf

6. 残りのルールをインストールします。

   # install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

7. usbguard デーモンを再起動して、変更を適用します。

   # systemctl restart usbguard

検証

1. アクティブな USBGuard ルールをすべて表示します。

   # usbguard list-rules
   ...
   15: allow id 04f2:0833 serial "" name "USB Keyboard" hash "kxM/iddRe/WSCocgiuQlVs6Dn0VEza7KiHoDeTz0fyg=" parent-hash "2i6ZBJfTl5BakXF7Gba84/Cp1gslnNc1DM6vWQpie3s=" via-port "7-2" with-interface { 03:01:01 03:00:00 } with-connect-type "unknown"
   ...

2. rules.conf ファイルと、/etc/usbguard/rules.d/ ディレクトリー内の .conf ファイルの内容をすべて表示します。

   # cat /etc/usbguard/rules.conf /etc/usbguard/rules.d/*.conf

3. アクティブなルールに、ファイルのすべてのルールが正しく、正しい順序で含まれていることを確認します。