Product SiteDocumentation Site

Глава 44. Настройка ограничений на использование USB-устройств

44.1. Информационное поле
44.2. Список USB-устройств
44.3. Предустановки
44.4. Добавление правил
44.4.1. Правила по классу интерфейса
44.4.2. Правила по VID&PID
44.4.3. Правила по хэшу
44.4.4. Другие правила
44.4.5. Загрузка правил из файла
44.5. Удаление правил
44.6. Просмотр журнала аудита
Модуль ЦУС Контроль USB-устройств (пакет alterator-usbguard) из раздела Система предназначен для настройки ограничений на использование USB-устройств. Модуль работает на основе функционала USBGuard, позволяет вести чёрный и белый списки ограничений и предоставляет два типа действий — allow/block.
Модуль предоставляет следующие возможности:
  • сканирование подключенных устройств;
  • выбор и добавление устройств в набор правил из списка подключенных устройств;
  • создание предустановленных правил для распространённых сценариев;
  • создание правил по дескрипторам интерфейса: CC:SS:PP;
  • создание правил по свойствам USB-устройства: PID, VID;
  • создание правил по хэшу устройства по PID+VID+SN;
  • создание сложных правил с дополнительными условиями;
  • загрузка правил из csv-файла;
  • редактирование значений в созданных правилах;
  • просмотр журнала событий подключения/отключения USB-устройств.

44.1. Информационное поле

В информационном поле отображается текущее состояние службы usbguard, список пользователей и групп, которые могут редактировать правила, сообщения об ошибках и предупреждения:
Alterator-usbguard. Информационное поле

Примечание

Добавить/удалить пользователя/группу, которые могут редактировать правила, можно в командной строке, например:
  • дать пользователю user полный доступ к разделам «devices» и «exceptions», пользователь user также будет иметь возможность просматривать и изменять текущую политику: 
    # usbguard add-user -u user --devices ALL --policy modify,list --exceptions ALL
  • удалить права у пользователя user: 
    # usbguard remove-user -u user
Дополнительную информацию смотрите на соответствующих страницах руководства, например: 
$ usbguard add-user -h
Для включения контроля за USB-устройствами необходимо установить отметку в пункте Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить. Служба usbguard будет запущена и добавлена в автозагрузку:
Alterator-usbguard. Служба usbguard запущена и добавлена в автозагрузку

Важно

По умолчанию будет установлен режим Белый список: Заблокировать все, кроме подключенных устройств, поэтому все подключенные устройства будут добавлены в список разрешённых, а все новые USB-­устройства будут блокироваться.
Изменить поведение по умолчанию можно, установив нужный режим перед запуском службы usbguard (см. Предустановки).
Для отключения контроля за USB-устройствами необходимо снять отметку с поля Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить и перезагрузить систему.