Code source wiki de RangeeOS - USB-Geräte Verwaltung mit USBGuard
Modifié par ndzokam le 2025/11/09 05:09
Masquer les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
 |
9.4 | 1 | {{info}} |
| |
36.1 | 2 | USBGuard est inclus dans le système de base de RangeeOS à partir du firmware 10.00 amd64 build 155. |
| |
9.4 | 3 | {{/info}} |
| 4 | |||
| |
36.1 | 5 | Avec USBGuard, vous gardez le contrôle sur les périphériques USB connectés à l’appareil. |
| |
9.4 | 6 | |
| |
29.2 | 7 | {{toc/}} |
| 8 | |||
| |
36.1 | 9 | = Activation d’USBGuard = |
| |
9.4 | 10 | |
| 11 | {{info}} | ||
| |
36.1 | 12 | Lors de la première activation d’USBGuard, un nouveau jeu de règles est créé automatiquement, permettant l’accès à tous les périphériques USB actuellement connectés.Par défaut, l’accès à tous les périphériques connectés ultérieurement est bloqué. |
| |
9.4 | 13 | {{/info}} |
| 14 | |||
| |
36.1 | 15 | USBGuard est désactivé par défaut dans notre firmware. Pour l’activer, cochez l’option " Utiliser USBGuard " sous {{status title="Peripherie"/}} -> {{status title="USB-Geräte"/}} -> **USBGuard-Daemon-Konfiguration** |
| |
9.4 | 16 | |
| |
29.2 | 17 | [[image:usb_guard_01.png||alt="USB Guard aktivieren" width="600"]] |
| |
9.4 | 18 | |
| |
36.1 | 19 | = Gestion des périphériques = |
| |
9.4 | 20 | |
| |
36.1 | 21 | Lorsque USBGuard est activé, vous pouvez gérer les périphériques USB connectés ainsi que les règles correspondantes sous {{status title="Peripherie"/}} -> {{status title="USB-Geräte"/}} -> **UGestion des périphériques USBGuard**. |
| |
9.4 | 22 | |
| |
36.1 | 23 | Les règles déjà créées peuvent être modifiées dans la colonne "Target" |
| |
9.4 | 24 | |
| |
36.1 | 25 | Les règles existantes peuvent être supprimées via le bouton "**Supprimer **". Le périphérique se comporte alors comme un **nouveau périphérique inconnu** lorsqu’il est reconnecté. |
| 26 | |||
| 27 | Pour les périphériques sans règle définie, vous pouvez créer une nouvelle règle via le bouton "**Créer une règle**" . | ||
| 28 | |||
| |
10.1 | 29 | (% class="box warningmessage" %) |
| 30 | ((( | ||
| |
36.1 | 31 | Si la règle par défaut pour les périphériques nouvellement connectés est définie sur " Refuser ", les nouveaux périphériques n’apparaîtront pas dans la liste des périphériques. |
| |
10.1 | 32 | ))) |
| |
9.4 | 33 | |
| |
28.1 | 34 | (% class="wikigeneratedid" %) |
| |
29.2 | 35 | [[image:usb_guard_02.png||alt="USB Guard konfigurieren" width="800"]] |
| |
28.1 | 36 | |
| |
36.1 | 37 | = Autorisations des périphériques disponibles = |
| |
9.4 | 38 | |
| |
11.1 | 39 | (% class="box warningmessage" %) |
| 40 | ((( | ||
| |
36.1 | 41 | Les règles de périphérique créées automatiquement s’appliquent toujours exactement à une combinaison périphérique USB + port USB. Si le périphérique USB est branché sur un autre port, une autre règle peut être définie ou bien la règle par défaut pour les nouveaux périphériques sera appliquée. |
| |
11.1 | 42 | ))) |
| |
9.4 | 43 | |
| |
36.1 | 44 | Tant dans la "règle par défaut" de la "Configuration du daemon USBGuard "que pour chaque périphérique individuel via la "Gestion des périphériques USBGuard," les règles suivantes peuvent être définies : |
| |
9.4 | 45 | |
| |
11.1 | 46 | (% style="list-style-type:square" %) |
| |
36.1 | 47 | * **Autoriser** |
| 48 | Permet l’utilisation du périphérique correspondant exactement sur le port USB utilisé actuellement. | ||
| |
9.4 | 49 | * **Blockieren** |
| |
36.1 | 50 | Empêche le chargement des pilotes correspondants – le périphérique ne peut pas être utilisé sur ce port. |
| 51 | * **Refuser** | ||
| 52 | Le périphérique n’apparaît pas dans la configuration système, et les périphériques nouvellement connectés ne peuvent pas être configurés. | ||
| |
29.2 | 53 | |
| |
36.1 | 54 | = USBGuard et TCMS / Configuration experte = |
| |
29.2 | 55 | |
| |
36.1 | 56 | Avec les paramètres par défaut, chaque périphérique génère des fichiers de configuration individuels pour USBGuard. Si un périphérique reçoit via la configuration de groupe la demande d’utiliser USBGuard, il génère automatiquement lors de la première activation une configuration correspondant aux périphériques actuellement connectés. Tous les périphériques connectés ultérieurement doivent être configurés manuellement. |
| |
29.2 | 57 | |
| |
36.1 | 58 | Si vous souhaitez gérer une configuration centrale pour tous les périphériques, par exemple pour autoriser tous les périphériques d’entrée ou les webcams de manière générale, vous pouvez utiliser le " mode expert ".. Une fois le mode expert activé, la configuration créée par le système est transmise au TCMS et donc également aux autres appareils. |
| |
29.2 | 59 | |
| 60 | {{warning}} | ||
| |
36.1 | 61 | Lors de l’activation du mode expert, vous devez adapter manuellement la configuration générée automatiquement. Si la configuration générée automatiquement est transférée sur un autre appareil, aucun périphérique USB ne fonctionnera, car la configuration contient les ports et les numéros de série des périphériques connectés, qui diffèrent d’un appareil à l’autre. |
| |
29.2 | 62 | {{/warning}} |
| 63 | |||
| |
36.1 | 64 | Vous pouvez activer le **mode expert** sous {{status title="Peripherie"/}} (% id="cke_bm_78664S" style="display:none" %){{status title="Peripherie"/}}(%%) -> {{status title="USB-Geräte"/}} -> **USBGuard-Daemon-Konfiguration. **SUne fois activé, un champ texte " **Règles personnalisées**" sera disponible dans la **Gestion des périphériques USBGuard**. |
| |
29.2 | 65 | |
| |
36.1 | 66 | === === |
| 67 | |||
| |
29.3 | 68 | [[image:usb_guard_03.png||alt="USB Guard Expertenkonfiguration" width="1000"]] |
| |
29.2 | 69 | |
| |
36.1 | 70 | Le contenu généré automatiquement sert initialement de « placeholder » et permet de continuer à utiliser votre appareil pour créer et tester les règles. |
| 71 | Une fois que vous avez créé vos propres règles, vous pouvez supprimer ce contenu généré. | ||
| |
29.2 | 72 | |
| |
36.1 | 73 | == Création de règles personnalisées == |
| |
29.2 | 74 | |
| |
36.1 | 75 | Par défaut, les nouveaux périphériques sont déjà bloqués. Cela signifie que vous devez définir uniquement les périphériques ou classes de périphériques que vous souhaitez autoriser. |
| |
32.1 | 76 | |
| |
36.1 | 77 | === Autoriser un périphérique unique sur tous les ports === |
| |
32.1 | 78 | |
| |
36.1 | 79 | Par exemple, si vous possédez un modèle spécifique de souris, clavier ou webcam, vous pouvez autoriser ce périphérique sur tous les ports. Pour ce faire, vous devez d’abord obtenir le PID:VID (Product & Vendor ID) de votre produit via {{status title="Peripherie"/}} (% id="cke_bm_78664S" style="display:none" %){{status title="Peripherie"/}}(%%) -> {{status title="USB-Geräte"/}}. Cela permet d’identifier de manière unique un modèle de périphérique. |
| |
32.1 | 80 | |
| 81 | [[image:usb_guard_04.png||alt="USB Guard Expertenkonfiguration" width="800"]] | ||
| 82 | |||
| |
36.1 | 83 | Une règle pour la "Microdia USB 2.0 Camera" visible dans la capture d’écran pourrait ressembler à ceci : |
| |
32.1 | 84 | |
| |
33.1 | 85 | //allow id 0c45:636e// |
| |
32.1 | 86 | |
| |
33.1 | 87 | {{warning}} |
| |
36.1 | 88 | Les lettres dans la combinaison **PID:VID** doivent être en **minuscules**. |
| |
33.1 | 89 | {{/warning}} |
| |
32.2 | 90 | |
| |
36.1 | 91 | Vous pouvez écrire autant de règles de ce type les unes sous les autres que vous le souhaitez. |
| |
32.2 | 92 | |
| |
36.1 | 93 | === Autoriser des classes de périphériques === |
| |
32.2 | 94 | |
| |
36.1 | 95 | Les classes de périphériques sont définies et autorisées selon leur classe d’interface. Il existe 8 classes de périphériques que vous pouvez autoriser : |
| |
32.2 | 96 | |
| |
32.1 | 97 | 1. Mass Storage Class (MSC): **08** |
| 98 | 1. Human Interface Device Class (HID): **03** | ||
| 99 | 1. Communication Device Class (CDC): **02** | ||
| 100 | 1. Audio Device Class (ADC): **01** | ||
| 101 | 1. Printer Device Class (PDC): **07** | ||
| 102 | 1. Image Device Class (IDC): **06** | ||
| 103 | 1. Still Image Capture Device Class (SICDC): **06** | ||
| 104 | 1. Video Device Class (VDC): **0E** | ||
| 105 | |||
| |
36.1 | 106 | Une règle pour autoriser par exemple tous les périphériques HID (souris/claviers + hubs) serait : |
| |
32.1 | 107 | |
| |
36.1 | 108 | {{code language="bash"}} |
| |
35.1 | 109 | allow with-interface one-of { 09:*:* 03:*:* } |
| 110 | {{/code}} | ||
| |
32.1 | 111 | |
| |
36.1 | 112 | Vous pouvez écrire autant de classes d’interface les unes après les autres que nécessaire. Avec cette combinaison, vous autorisez Hubs + HID + caméras + périphériques audio : |
| |
32.1 | 113 | |
| |
36.1 | 114 | {{code language="bash"}} |
| |
35.1 | 115 | allow with-interface one-of { 09:*:* 03:*:* 0E:*:* 01:*:* } |
| 116 | {{/code}} | ||
| |
32.1 | 117 | |
| |
36.1 | 118 | Remarque : si vous supprimez la classe HUB (09), vous perdez automatiquement l’accès aux périphériques connectés aux hubs, même si leurs classes sont autorisées. |
| |
32.3 | 119 | |
| |
36.1 | 120 | === Exemple === |
| |
33.1 | 121 | |
| |
36.1 | 122 | Avec le contenu suivant dans le champ texte, toutes les souris et claviers, les périphériques audio et un modèle de webcam spécifique fonctionneraient : |
| |
33.1 | 123 | |
| |
36.1 | 124 | {{code language="bash"}} |
| |
35.1 | 125 | allow id 0c45:636e |
| 126 | allow with-interface one-of { 03:*:* 01:*:* } | ||
| 127 | {{/code}} | ||
| |
33.1 | 128 | |
| |
36.1 | 129 | === Autres commandes === |
| |
32.3 | 130 | |
| |
36.1 | 131 | Une liste complète de la syntaxe USBGuard est disponible sur le web ici : [[USBGuard Rule Language>>https://usbguard.github.io/documentation/rule-language]] |
| 132 | |||
| 133 | |||
| 134 | ---- |