13.4. USB デバイスの永続的なブロックおよび許可
-p オプションを使用すると、USB デバイスを永続的にブロックおよび許可できます。これにより、デバイス固有のルールが現在のポリシーに追加されます。
前提条件
-
usbguardサービスがインストールされており、実行している。
手順
usbguardデーモンがルールの書き込みを許可するように SELinux を設定します。usbguardに関連するsemanageブール値を表示します。# semanage boolean -l | grep usbguard usbguard_daemon_write_conf (off , off) Allow usbguard to daemon write conf usbguard_daemon_write_rules (on , on) Allow usbguard to daemon write rules必要に応じて、
usbguard_daemon_write_rulesのブール値が無効になっている場合は、有効にします。# semanage boolean -m --on usbguard_daemon_write_rules
USBGuard が認識する USB デバイスのリストを表示します。
# usbguard list-devices 1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00 ... 6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
デバイス
6がシステムと対話することを永続的に許可します。# usbguard allow-device 6 -pデバイス
6の許可を永続的に解除し、デバイスを削除します。# usbguard reject-device 6 -pデバイス
6の許可を永続的に解除し、デバイスを保持します。# usbguard block-device 6 -p
注記
USBGuard では、block および reject は以下の意味で使用されます。
block- 今はこのデバイスと対話しません。
reject- このデバイスは存在しないものとして無視します。
検証
USBGuard ルールに加えた変更が含まれていることを確認します。
# usbguard list-rules
関連情報
-
システム上の
usbguard(1)man ページ -
usbguard --helpコマンドを使用してリスト表示される組み込みヘルプ。
