Você já configurou um firewall perfeito e implementou políticas de segurança de rede robustas para proteger o computador de secretárias e desktops contra acessos não autorizados. Mas e quanto aos dispositivos USB? Eles podem ser a porta de entrada para ameaças, como os conhecidos BadUSB. É por isso que é crucial que você implemente uma política de segurança em Linux capaz de bloquear o acesso de dispositivos USB indesejados. A solução? USBGuard! Este poderoso utilitário permite que você configure listas de permissões e proibições com base nas características dos dispositivos USB. Por exemplo, você pode permitir o uso de um Yubikey com o número de série “XYZ” e um modem LTE USB com o número “ABC”. Todos os outros dispositivos USB serão automaticamente bloqueados.

Instalação do USBGuard e Outros Utilitários

USBGuard é exclusivo para Linux e não funcionará em sistemas como BSD ou macOS. Siga as instruções abaixo para instalá-lo, dependendo da sua distribuição Linux:

Debian/Ubuntu ou Linux Mint

Execute o seguinte comando no terminal:

sudo apt install usbguard usbutils udisks2

A instalação é rápida e você verá mensagens indicando que os pacotes estão prontos para serem instalados.

Fedora ou RHEL e Derivados

Se estiver utilizando Fedora, RHEL ou distribuições semelhantes, use o comando:

sudo dnf install usbguard usbutils udisks2

SUSE/OpenSUSE

Para utilizadores de SUSE Enterprise Linux ou OpenSUSE, utilize o seguinte comando:

sudo zypper in usbguard usbutils udisks2 usbguard-tools

Controlando o Serviço USBGuard

Após a instalação, você precisa ativar e configurar o serviço USBGuard para iniciar automaticamente no boot. Utilize os comandos:

sudo systemctl enable usbguard.service --now
sudo systemctl start usbguard.service

Se precisar reiniciar o serviço após aplicar novas políticas, use:

sudo systemctl restart usbguard.service

Listando Dispositivos USB Atuais

Para verificar quais dispositivos USB estão conectados ao seu sistema, utilize:

lsusb

Ou

usb-devices | less

Visualizando as Regras do USBGuard

Navegue até o diretório onde as configurações do USBGuard estão armazenadas. Torne-se o usuário root e acesse:

cd /etc/usbguard
sudo -i
ls -l

Você verá arquivos, incluindo o rules.conf, onde as regras de acesso estão definidas.

Tipos de Regras

O USBGuard classifica as regras de três maneiras:

reject – Bloqueia o dispositivo e o torna invisível para o sistema até que seja reinserido.

allow – Autoriza o dispositivo USB.

block – Bloqueia o dispositivo, mas ainda o torna visível para o sistema.

Entendendo o Arquivo de Configuração do USBGuard

O serviço do USBGuard lê suas configurações a partir do arquivo /etc/usbguard/usbguard-daemon.conf. Você pode visualizar as opções com o comando:

sudo less /etc/usbguard/usbguard-daemon.conf

Algumas opções importantes incluem:

• RuleFile – Especifica o arquivo de regras que o daemon irá usar.
• ImplicitPolicyTarget – Define como tratar dispositivos que não correspondem a nenhuma regra existente.

Criando uma Política Base Padrão

Caso o arquivo rules.conf esteja vazio, execute o comando a seguir para gerar uma política que autoriza os dispositivos USB atualmente conectados:

sudo usbguard generate-policy -X > /etc/usbguard/rules.conf

Definindo uma Política “CATCH ALL”

A última regra deve ser sempre reject ou block. Para definir uma nova política com uma regra de bloqueio, utilize:

sudo usbguard generate-policy -X -t block > /etc/usbguard/rules.conf

Ou

sudo usbguard generate-policy -X -t reject > /etc/usbguard/rules.conf

Essa configuração garante que somente dispositivos USB autorizados possam interagir com seu sistema Linux, evitando a entrada de ameaças.

Testando o USBGuard

Para verificar se a proteção está funcionando, insira um modem USB 4G LTE e execute o comando:

lsusb

Você verá se o dispositivo está bloqueado. Mensagens do kernel indicarão que o dispositivo HUAWEI não está autorizado:

sudo dmesg | grep -i 'authorized'

Visualizando Dispositivos Bloqueados

Para listar dispositivos USB bloqueados:

sudo usbguard list-devices -b

Assim, você terá um panorama completo de quais dispositivos USB estão sendo bloqueados e quais estão autorizados a interagir com o seu sistema.

Conclusão

A implementação do USBGuard no seu sistema Linux não só reforça a segurança do seu ambiente de trabalho como também protege dados sensíveis contra acessos não autorizados. Não espere até que seja tarde demais! Proteja o seu sistema agora e mantenha as suas informações seguras contra as ameaças invisíveis que podem estar à espreita através de dispositivos USB maliciosos.