Kryptera operativsystemet Ubuntu med hjälp av en SED-hårddisk

Kryptera Ubuntu

Från: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Aktivera viloläge

1. Öppna terminalen.

2. Skriv följande för att kontrollera om systemet kan försätts i viloläge:

   # sudo systemctl hibernate

3. Om det fungerar kan du antingen använda kommandot för att försätta den i viloläge på begäran eller skapa en fil för att lägga till vilolägesalternativet i menysystemen:
   
   skapa /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Lägg till följande i filen och spara:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Om viloläget inte fungerar:

   Kontrollera om växlingspartitionen är minst lika stor som det tillgängliga RAM-minnet.
   
   Förekomsten av btrfs-partitioner har visat sig göra att viloläge misslyckas, så kontrollera att du inte använder några btrfs-partitioner. Förutom att ta bort eller formatera om sådana partitioner kan du behöva ta bort btrfs-tools-paketet:

   # sudo apt purge btrfs-tools

Aktivera sedutil för att fungera genom att aktivera allow_tpm

Från: http://jorgenmodin.net/

Du måste aktivera TPM:

libata.allow_tpm=1

... måste läggas till i Grub-parametrarna.

På /etc/default/grub så sätt bör det finnas en rad som säger något som liknar det här:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Uppdatera grub och starta om.

# sudo update-grub

Kryptera hårddisken

Från: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Förbered ett startbart nödsystem

Hämta rescue system för BIOS eller 64-bitars UEFI-maskin .

* UEFI-stöd kräver att Säker start stängs av.
Packa upp Rescue-systemet: ( Windows-användare måste använda 7-zip )

gunzip RESCUE32.img.gz
--or--Transfer the Rescue image to the USB stick. (Överför Rescue-avbildningen


gunzip RESCUE64.img.gz till USB-minnet).
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? är USB-minnets basenhetsnod, inget nummer)
--eller--
dd if=RESCUE64.img of=/dev/sd?

Windows: Använd Win32DiskImager från sourceforge för att skriva avbildningen till USB-minnet.
Starta USB-usb-enheten med hjälp av systemet. Inloggningsmeddelandet visas, ange root , det finns inget lösenord så du får en root shell-prompt.

Alla steg nedan bör köras på RESCUE-SYSTEMET.

Test sedutil

Ange kommandot: sedutil-cli --scan

Förväntade utdata:


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
Kontrollera att enheten har två i den andra kolumnen som anger stöd för OPAL 2. Om inte fortsätter finns det något som hindrar sedutil från att stödja enheten. Om du fortsätter kan du radera alla data.

Testa PBA

Ange kommandot linuxpba och använd en lösenordsfras för felsökning. Om du inte använder felsökning eftersom lösenordsfrasen startas om systemet.

Förväntade utdata:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontrollera att enheten finns med i listan och att PBA rapporterar den som OPAL.

Genom att utfärda kommandon i de steg som följer aktiveras OPAL-låsning. Om du har problem måste du följa stegen i slutet av den här sidan (återställningsinformation ) för att antingen avaktivera eller ta bort OPAL-låsning.

I följande steg används /dev/sdc som enhet och UEFI64-1.15.img.gz för PBA-avbildningen ersätter du enheten /dev/sd? med rätt PBA-namn för systemet.

Överst på sidan

Aktivera låsning och PBA

Ange kommandona nedan: (Använd lösenordet för felsökning för det här testet, det ändras senare)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Byt ut n.nn mot versionsnumret.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Byt ut n.nn mot versionsnumret.

Förväntade utdata:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testa PBA igen

Ange kommandot linuxpba och använd en lösenordsfras för felsökning.
Det här andra testet verifierar att hårddisken verkligen låss upp.

Förväntade utdata:

#linuxpba

DTA LINUX Pre Boot Authorization

Ange lösenordsfras för att låsa upp OPAL-enheter: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontrollera att PBA låser upp enheten, det ska säga "är OPAL olåst" Om det inte gör det måste du följa stegen i slutet av den här sidan för att antingen ta bort OPAL eller inaktivera låsning.

Ange ett verkligt lösenord

SID- och Admin1-lösenorden måste inte matcha, men det gör det enklare.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Förväntade utdata:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Kontrollera att du inte angav lösenordet på fel sätt genom att testa det.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Förväntade utdata:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Enheten är nu inne med OPAL-låsning.
Du måste nu STÄNGA AV SYSTEMET HELT.
Detta låser enheten så att PBA startas när du startar om systemet.

Återställningsinformation:

Om det uppstår ett problem efter aktivering av låsning kan du antingen inaktivera låsning eller ta bort OPAL för att fortsätta använda enheten utan att låsa sig.

Om du vill inaktivera låsning och PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Förväntade utdata:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Du kan återaktivera låsning och PBA med hjälp av den här kommandosekvensen.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Förväntade utdata:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Vissa OPAL-enheter har ett fel med fast programvara som raderar alla data om du utfärdar kommandona nedan. Se ta bort Opal för en lista över disk/fast programvara par som du vet har testats.

Utför följande kommandon för att ta bort OPAL:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Förväntade utdata:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Överst på sidan