Problém tady s tímto jako s bezpečnostním opatřením je ten, že veškeré tyhle informace říká systému samo to USB zařízení. Takže dostatečně odhodlaný útočník si prostě zbastlí nějaký hw, který o sobě říká úplně cokoliv.

Já mám něco podobného, ale zaprvé je to jen pro HID zařízení (ostatní nepovažuju za nebezpečná, alespoň ne v mojí konfiguraci) a zadruhé má konfiguraci mimo konfigurační soubory udevu, takže pro detekci není třeba jeho restart. Skládá se ze tří částí, první je pravdilo 90-blockusbhid.rules:

#Check USB HID devices
ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/usr/local/sbin/checkhid"

Druhý je samotný skript checkhid, co kontroluje zařízení podle whitelistu:

#!/bin/sh
logger -t CheckHID "Checking '$PRODUCT' ..."
while read line;
do
  if [ "$PRODUCT" = "$line" ]
  then
    logger -t CheckHID "Device OK"
    exit
  fi
done < /usr/local/etc/enabled_devices.cfg
logger -t CheckHID "Disabling device"
echo 0 > /sys$DEVPATH/../authorized

Skript čte řádku po řádce soubor s povolenými zařízenímy a pokud najde shodu, skončí, v opačném případě zařízení zakáže.

A třetí část je konfigurační soubor enabled_devices.cfg, což je whitelist povolených HID zařízení. Formát souboru je jednoduchý, na každé řádce je to, co skript vypíše do logu mezi apostrofy, třeba USB klávesnice má na řádku 4f2/116/300 a moje UPS 463/ffff/1.

PS: Pokud máte pouze USB klávesnici, během testování si raději zapoznámkujte poslední řádek

Dnes vyšel článek na konkurenčním serveru a zmiňují se tam o skriptu v pythonu, tedy konkrétně USBkill, jen pro informaci.

Cau, nedavno jsem zacal s implementaci takoveho whitelistu v C++ a ma to momentalne i jednoduche klikatko. Projektove stranky na githubu: https://dkopecek.github.io/usbguard/