Kryptere Ubuntu-operativsystemet ved hjelp av en SED-harddisk

Kryptering av Ubuntu

Hentet fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Aktiver dvalemodus

1. Åpne terminalen.

2. Skriv inn følgende for å kontrollere om systemet kan gå i dvalemodus:

   # sudo systemctl hibernate

3. Hvis den fungerer, kan du enten bruke kommandoen til å gå i dvalemodus etter behov eller opprette en fil for å legge til dvalemodusalternativet i menysystemene:
   
   opprett /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Legg til følgende i filen, og lagre:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Hvis dvalemodus ikke fungerer:

   Kontroller om byttepartisjonen er minst like stor som tilgjengelig RAM.
   
   Det har vist seg at btrfs-partisjoner gjør at dvalemodus mislykkes, så kontroller at du ikke bruker noen btrfs-partisjoner. I tillegg til å fjerne eller reformatere slike partisjoner, må du kanskje fjerne btrfs-verktøypakken:

   # sudo apt purge btrfs-tools

Aktiver forførende arbeid ved å aktivere allow_tpm

Hentet fra: http://jorgenmodin.net/

Du må aktivere TPM:

libata.allow_tpm=1

... må legges til Grubs parametere.

Det /etc/default/grub betyr at det skal være en linje som sier noe som dette:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Deretter oppdaterer du grub og starter på nytt.

# sudo update-grub

Kryptere disken

Hentet fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Klargjøre et oppstartbart redningssystem

Last ned redningssystemet for BIOS eller 64-biters UEFI-maskin .

* UEFI-støtte krever at sikker oppstart er slått av.
Dekomprimer dekselsystemet: ( Windows-brukere må bruke 7 zip )

gunzip RESCUE32.img.gz
- eller-

gunzip RESCUE64.img.gz
Overfør avbildningen til USB-minnepinnen.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? er USB-minnepinnebaseenhetsnoden, ingen tall)
-eller--
dd if=RESCUE64.img of=/dev/sd?

Windows: Bruk Win32DiskImager fra sourceforge til å skrive imaget til USB-minnepinnen.
Start USB-minnepinnen med redningssystemet på. Du ser påloggingsledeteksten. Skriv inn roten der det ikke er noe passord, slik at du får en ledetekst for rotskall.

Alle trinnene nedenfor skal kjøres på RESCUE SYSTEM.

Test sedutil

Skriv inn kommandoen: sedutil-cli --scan

Forventet utdata:


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
Kontroller at disken har to i den andre kolonnen som indikerer OPAL 2-støtte. Hvis den ikke fortsetter, er det noe som hindrer forførende i å støtte disken. Hvis du fortsetter, kan du slette alle data.

Test the PBA

Skriv inn kommandoen linuxpba , og bruk en pass-phrase for feilsøking. Hvis du ikke bruker feilsøking når pass-frasen systemet starter på nytt,

Forventet utdata:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontroller at stasjonen er oppført, og at PBA rapporterer den som "er OPAL".

Hvis du utsteder kommandoene i trinnene som følger, aktiveres OPAL-låsing. Hvis du har et problem, må du følge trinnene på slutten av denne siden (gjenopprettingsinformasjon ) for å deaktivere eller fjerne OPAL-låsing.

Følgende trinn bruker /dev/sdc som enhet, og UEFI64-1.15.img.gz for PBA-imaget bytter du ut riktig /dev/sd? for disken og riktig PBA-navn for systemet.

Tilbake til toppen

Aktiver låsing og PBA

Skriv inn kommandoene nedenfor: (Bruk feilsøkingspassordet for denne testen, og blir endret senere)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Bytt ut n.nn med utgivelsesnummeret.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Bytt ut n.nn med utgivelsesnummeret.

Forventet utdata:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Test PBA på nytt

Skriv inn kommandoen linuxpba, og bruk en pass-frase for feilsøking.
Denne andre testen bekrefter at disken virkelig blir låst opp.

Forventet utdata:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase for å låse opp OPAL-stasjoner: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontroller at PBA låser opp disken. Hvis den ikke gjør det, må du følge trinnene på slutten av denne siden for å fjerne OPAL eller deaktivere låsing.

Angi et ekte passord

SID- og Admin1-passordene trenger ikke samsvare, men det gjør ting enklere.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Forventet utdata:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Kontroller at du ikke skrev inn passordet ved å teste det.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Forventet utdata:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Stasjonen din bruker OPAL-låsing nå.
Du må nå SLÅ AV SYSTEMET FULLSTENDIG.
Dette låser disken slik at når du starter systemet på nytt, starter den opp PBA-en.

Gjenopprettingsinformasjon:

Hvis det oppstår et problem etter aktivering av låsing, kan du enten deaktivere låsing eller fjerne OPAL for å fortsette å bruke stasjonen uten å låse den.

Hvis du vil deaktivere låsing og PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Forventet utdata:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Du kan aktivere låsing på nytt og PBA ved hjelp av denne kommandosekvensen.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Forventet utdata:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Noen OPAL-stasjoner har en fastvarefeil som sletter alle data hvis du utsteder kommandoene nedenfor. Se remove opal (Fjern Opal ) for å se en liste over disk-/fastvarepar som du vet er testet.

Hvis du vil fjerne OPAL, kan du utstede disse kommandoene:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Forventet utdata:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Tilbake til toppen