13.5. USB デバイス用のカスタムポリシーの作成
以下の手順では、シナリオの要件を反映する USB デバイス用のルールセットを作成する手順を説明します。
前提条件
-
usbguardサービスがインストールされており、実行している。 -
/etc/usbguard/rules.confファイルには、usbguard generate-policyコマンドで生成した初期ルールセットが含まれます。
手順
現在接続している USB デバイスを許可するポリシーを作成し、生成されたルールを
rules.confファイルに保存します。# usbguard generate-policy --no-hashes > ./rules.conf--no-hashesオプションは、デバイスのハッシュ属性を生成しません。設定のハッシュ属性は永続的ではない可能性があるため、回避してください。選択したテキストエディターで
rules.confファイルを編集します。次に例を示します。# vi ./rules.conf必要に応じて、ルールを追加、削除、または編集します。たとえば、以下のルールを使用すると、大容量ストレージインターフェイスが 1 つあるデバイスのみがシステムと対話できます。
allow with-interface equals { 08:*:* }詳細なルール言語の説明とその他の例は、
usbguard-rules.conf(5)の man ページを参照してください。更新したポリシーをインストールします。
# install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.confusbguardデーモンを再起動して、変更を適用します。# systemctl restart usbguard
検証
カスタムルールがアクティブポリシーにあることを確認します。以下に例を示します。
# usbguard list-rules ... 4: allow with-interface 08:*:* ...
関連情報
-
システム上の
usbguard-rules.conf(5)man ページ
