4.12. USBGuard사용


USBGuard 소프트웨어 프레임워크는 장치 속성을 기반으로 기본 화이트리스트 및 블랙리스트 기능을 구현하여 개입하는 USB 장치에 대한 시스템 보호 기능을 제공합니다. 사용자 정의 정책을 적용하기 위해 USBGuard 는 Linux 커널 USB 장치 권한 부여 기능을 사용합니다. USBGuard 프레임워크는 다음 구성 요소를 제공합니다.
  • 동적 상호 작용 및 정책 적용을 위한 프로세스 간 통신(IPC) 인터페이스가 있는 데몬 구성 요소입니다.
  • 실행 중인 USBGuard 인스턴스와 상호 작용하는 명령줄 인터페이스입니다.
  • USB 장치 권한 부여 정책을 작성하는 규칙 언어입니다.
  • 공유 라이브러리에 구현된 데몬 구성 요소와 상호 작용하기 위한 C++ API입니다.

4.12.1. USBGuard설치

usbguard 패키지를 설치하려면 root 로 다음 명령을 입력합니다.
~]# yum install usbguard
초기 규칙 세트를 생성하려면 다음 명령을 root 로 입력합니다.
~]# usbguard generate-policy > /etc/usbguard/rules.conf
참고
USBGuard 규칙 세트를 사용자 지정하려면 /etc/usbguard/rules.conf 파일을 편집합니다. 자세한 내용은 usbguard-rules.conf(5) 매뉴얼 페이지를 참조하십시오. 자세한 내용은 4.12.3절. “규칙 언어를 사용하여 고유한 정책 만들기” 을 참조하십시오.
USBGuard 데몬을 시작하려면 root 로 다음 명령을 입력합니다.
~]# systemctl start usbguard.service
~]# systemctl status usbguard
● usbguard.service - USBGuard daemon
   Loaded: loaded (/usr/lib/systemd/system/usbguard.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-06-06 13:29:31 CEST; 9s ago
     Docs: man:usbguard-daemon(8)
 Main PID: 4984 (usbguard-daemon)
   CGroup: /system.slice/usbguard.service
           └─4984 /usr/sbin/usbguard-daemon -k -c /etc/usbguard/usbguard-daem...
USBGuard 가 시스템을 시작할 때 자동으로 시작되도록 하려면 root 로 다음 명령을 사용합니다.
~]# systemctl enable usbguard.service
Created symlink from /etc/systemd/system/basic.target.wants/usbguard.service to /usr/lib/systemd/system/usbguard.service.
USBGuard 에서 인식하는 모든 USB 장치를 나열하려면 root 로 다음 명령을 입력합니다.
~]# usbguard list-devices
1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00
...
6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
시스템과 상호 작용하도록 장치를 인증하려면 allow-device 옵션을 사용합니다.
~]# usbguard allow-device 6
장치를 인증 해제하고 시스템에서 제거하려면 reject-device 옵션을 사용합니다. 장치의 인증을 해제하려면 block-device 옵션과 함께 usbguard 명령을 사용합니다.
~]# usbguard block-device 6
usbguard 는 다음 의미와 함께 블록거부 용어를 사용합니다.
  • Block - 지금은 이 장치와 연결하지 마십시오.
  • reject - 이 장치가 존재하지 않는 것처럼 무시합니다.
usbguard 명령의 모든 옵션을 보려면 --help 지시문으로 입력합니다.
~]$ usbguard --help
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.