Před nedávnem jsme tu měli článek o hardwarovém firewallu pro USB. Před škodlivými USB vás také může ochránit software USBGuard, který běží v uživatelském prostoru a podle pravidel povolit jen zařízení, která používáte a kterým věříte.
Na ZDNet včera vyšel článek s krátkým návodem, jak USBGuard nastavit. USBGuard není zřejmě automaticky nainstalován v žádné distribuci, ale můžete ho lehce doinstalovat v Ubuntu (od 16.10 balíček usbguard) a u distribucí založených na Red Hatu z EPEL. Taktéž můžete kompilovat ze zdrojových kódů na GitHubu.
Výhodou proti hardwarovému řešení je, že ochráníte všechny USB porty a ne jen jeden. Tedy ani „náhodný kolemjdoucí“ nebude moci použít port, který není chráněný hardwarovým firewallem, nebo hardwarovou ochranu dokonce vytáhne. Nejprve je potřeba vytvořit konfigurační soubor rules.conf.
usbguard generate-policy > rules.conf vi rules.conf sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf sudo systemctl restart usbguard
V něm pak můžete například povolit pro port 1–2 jen váš Yubikey a zakázat vše ostatní.
allow 1050:0011 name "Yubico Yubikey II" serial "0001234567" via-port "1-2" hash "044b5e168d40ee0245478416caf3d998" reject via-port "1-2"