Hlavní navigace

USBGuard softwarová ochrana Linuxu před škodlivými USB zařízeními

Jan Fikar

Před nedávnem jsme tu měli článek o hardwarovém firewallu pro USB. Před škodlivými USB vás také může ochránit software USBGuard, který běží v uživatelském prostoru a podle pravidel povolit jen zařízení, která používáte a kterým věříte.

Na ZDNet včera vyšel článek s krátkým návodem, jak USBGuard nastavit. USBGuard není zřejmě automaticky nainstalován v žádné distribuci, ale můžete ho lehce doinstalovat v Ubuntu (od 16.10 balíček usbguard) a u distribucí založených na Red Hatu z EPEL. Taktéž můžete kompilovat ze zdrojových kódů na GitHubu.

Výhodou proti hardwarovému řešení je, že ochráníte všechny USB porty a ne jen jeden. Tedy ani „náhodný kolemjdoucí“ nebude moci použít port, který není chráněný hardwarovým firewallem, nebo hardwarovou ochranu dokonce vytáhne. Nejprve je potřeba vytvořit konfigurační soubor rules.conf.

 usbguard generate-policy > rules.conf
 vi rules.conf
 sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf
 sudo systemctl restart usbguard

V něm pak můžete například povolit pro port 1–2 jen váš Yubikey a zakázat vše ostatní.

allow 1050:0011 name "Yubico Yubikey II" serial "0001234567" via-port "1-2" hash "044b5e168d40ee0245478416caf3d998"
reject via-port "1-2"
Našli jste v článku chybu?