13.5. 为 USB 设备创建自定义策略
以下流程包含了为 USB 设备创建反映您场景需求的规则集的步骤。
先决条件
-
usbguard服务已安装并运行。 -
/etc/usbguard/rules.conf文件包含了由usbguard generate-policy命令生成的初始规则集。
流程
创建一个策略,其授权当前连接的 USB 设备,并将生成的规则保存到
rules.conf文件中:# usbguard generate-policy --no-hashes > ./rules.conf--no-hashes选项不会为设备生成哈希属性。在配置设置中避免哈希属性,因为它们可能不是永久的。使用您选择的文本编辑器编辑
rules.conf文件,例如:# vi ./rules.conf根据需要添加、删除或编辑规则。例如,以下规则只允许带有一个大容量存储接口的设备与系统进行交互:
allow with-interface equals { 08:*:* }有关详细的规则语言描述和更多示例,请参阅
usbguard-rules.conf(5)手册页。安装更新的策略:
# install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf重启
usbguard守护进程以应用您的更改:# systemctl restart usbguard
验证
检查您的自定义规则是否在活动的策略中,例如:
# usbguard list-rules ... 4: allow with-interface 08:*:* ...
其他资源
-
您系统上的
usbguard-rules.conf (5)手册页
