13.4. 永久阻止和授权 USB 设备
您可以使用 -p 选项永久阻止和授权 USB 设备。这会在当前策略中添加一条特定于设备的规则。
先决条件
-
usbguard服务已安装并运行。
流程
配置 SELinux,以允许
usbguard守护进程编写规则。显示与
usbguard相关的semanage布尔值。# semanage boolean -l | grep usbguard usbguard_daemon_write_conf (off , off) Allow usbguard to daemon write conf usbguard_daemon_write_rules (on , on) Allow usbguard to daemon write rules可选:如果
usbguard_daemon_write_rules布尔值已关闭,请打开它。# semanage boolean -m --on usbguard_daemon_write_rules
列出 USBGuard 识别的 USB 设备:
# usbguard list-devices 1: allow id 1d6b:0002 serial "0000:00:06.7" name "EHCI Host Controller" hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" parent-hash "4PHGcaDKWtPjKDwYpIRG722cB9SlGz9l9Iea93+Gt9c=" via-port "usb1" with-interface 09:00:00 ... 6: block id 1b1c:1ab1 serial "000024937962" name "Voyager" hash "CrXgiaWIf2bZAU+5WkzOE7y0rdSO82XMzubn7HDb95Q=" parent-hash "JDOb0BiktYs2ct3mSQKopnOOV2h9MGYADwhT+oUtF2s=" via-port "1-3" with-interface 08:06:50
永久授权设备
6,以与系统进行交互:# usbguard allow-device 6 -p永久取消授权并删除设备
6:# usbguard reject-device 6 -p永久取消授权并保留设备
6:# usbguard block-device 6 -p
注意
USBGuard 使用术语 block 和 reject,具有以下含义:
block- 现在不要与此设备进行交互。
reject- 忽略这个设备,就像它不存在一样。
验证
检查 USBGuard 规则是否包含您所做的更改。
# usbguard list-rules
其他资源
-
在您的系统中的
usbguard (1)手册页 -
使用
usbguard --help命令列出内置的帮助信息。
