12.4. Bloqueio permanente e autorização de um dispositivo USB
Você pode bloquear e autorizar permanentemente um dispositivo USB usando a opção -p. Isto acrescenta uma regra específica do dispositivo à política atual.
Pré-requisitos
-
O serviço
usbguardestá instalado e funcionando.
Procedimento
Configurar o SELinux para permitir que o daemon
usbguardescreva regras.Mostrar o
semanageBooleans relevante parausbguard.# semanage boolean -l | grep usbguard usbguard_daemon_write_conf (off , off) Allow usbguard to daemon write conf usbguard_daemon_write_rules (on , on) Allow usbguard to daemon write rulesOpcional: Se o
usbguard_daemon_write_rulesBoolean estiver desligado, ligue-o.# semanage boolean -m --on usbguard_daemon_write_rules
Liste os dispositivos USB reconhecidos por USBGuard:
# usbguard list-devices 1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00 ... 6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
Autorizar permanentemente o dispositivo 6 para interagir com o sistema:
# usbguard allow-device 6 -pDesautorizar e remover permanentemente o dispositivo 6:
# usbguard reject-device 6 -pDesautorizar e manter permanentemente o dispositivo 6:
# usbguard block-device 6 -p
USBGuard utiliza os termos block e reject com os seguintes significados:
- block: não interaja com este dispositivo por enquanto.
- reject: ignorar este dispositivo como se ele não existisse.
Verificação
Verifique se as regras do
USBGuardincluem as mudanças que você fez.# usbguard list-rules
Recursos adicionais
Liste todas as opções do comando
usbguard:$ usbguard --help-
usbguard(1)página do homem
