Шифрування операційної системи Ubuntu за допомогою жорсткого диска SED

Шифрування Ubuntu

Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Увімкнення режиму глибокого сну

1. Відкрийте термінал.

2. Введіть наступне, щоб перевірити, чи може система переходити в режим глибокого сну:

   # sudo systemctl hibernate

3. Якщо це спрацює, ви можете або використовувати команду глибокого сну на вимогу, або створити файл для додавання опції глибокого сну в системи меню:
   
   створити /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Додайте до файлу наступне та збережіть:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Якщо сплячка не спрацювала:

   Перевірте, чи ваш розділ підкачки принаймні такий же великий, як доступна оперативна пам'ять.
   
   Наявність розділів btrfs призводить до помилки глибокого сну, тому перевірте, чи не використовуються розділи btrfs. Окрім вилучення або переформатування таких розділів, вам може знадобитися вилучити пакунок btrfs-tools:

   # sudo apt purge btrfs-tools

Увімкніть роботу sedutil, увімкнувши allow_tpm

Взято з: http://jorgenmodin.net/

Необхідно ввімкнути модуль TPM.

libata.allow_tpm=1

... потрібно додати до параметрів вашого Grub.

Це /etc/default/grub означає, що має бути рядок, який говорить приблизно так:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Потім оновіть grub і перезавантажтеся.

# sudo update-grub

Шифрування диска

Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Підготуйте завантажувальну систему порятунку

Скачайте систему порятунку для БІОС або 64 бітної машини UEFI .

* Підтримка UEFI вимагає вимкнення безпечного завантаження.
Розпакуйте систему порятунку: (Користувачі Windows повинні використовувати 7-zip )

gunzip RESCUE32.img.gz
--або--Перенесіть

gunzip RESCUE64.img.gz
образ Rescue на USB-накопичувач.
Linux: dd if=RESCUE32.img of=/dev/sd?/dev/sd?( - вузол базового пристрою USB-накопичувача, без номера)
--або--
dd if=RESCUE64.img of=/dev/sd?

Вікна: Використовуйте Win32DiskImager з sourceforge для запису образу на USB-накопичувач.
Завантажте флешку з системою порятунку на ній. Ви бачите запит на вхід, введіть root , пароля немає, і ви отримаєте запит кореневої оболонки.

ВСІ кроки, наведені нижче, повинні бути виконані в СИСТЕМІ ПОРЯТУНКУ.

Тест sedutil

Введіть команду: sedutil-cli --scan

Очікуваний вихід:


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
Переконайтеся, що на другому стовпці диска є двійка, яка вказує на підтримку OPAL 2. Якщо це не продовжується, є щось, що заважає sedutil підтримувати ваш диск. Якщо ви продовжите, ви можете стерти всі дані.

Перевірте PBA

Введіть команду linuxpba і використовуйте парольну фразу debug. Якщо ви не використовуєте debug як парольну фразу, ваша система перезавантажиться.

Очікуваний результат:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Переконайтеся, що Ваш диск є в списку, а PBA повідомляє про нього як «OPAL».

Видача команд у наведених нижче кроках увімкне блокування OPAL. Якщо у вас виникла проблема, ви повинні виконати дії, описані в кінці цієї сторінки (Інформація про відновлення), щоб вимкнути або видалити блокування OPAL.

Наступні кроки використовують /dev/sdc як пристрій, а UEFI64-1.15.img.gz для образу PBA замініть належне для вашого диска та належне /dev/sd? ім'я PBA для вашої системи.

Повернутися до початку

Увімкніть блокування та PBA

Введіть команди нижче: (Використовуйте пароль налагодження для цього тесту, він буде змінений пізніше)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Замініть n.nn номером випуску.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Замініть n.nn номером випуску.

Очікуваний результат:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Перевірте PBA, знову

Введіть команду linuxpba і використовуйте парольну фразу debug.
Цей другий тест підтверджує, що ваш диск дійсно розблоковано.

Очікуваний результат:

#linuxpba

Попередня авторизація

завантаження DTA LINUX Введіть парольну фразу для розблокування дисків OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Переконайтеся, що PBA розблоковує ваш диск, на ньому має бути написано "is OPAL Unlocked" Якщо це не так, ви повинні виконати кроки в кінці цієї сторінки, щоб видалити OPAL або вимкнути блокування.

Встановіть справжній пароль

Паролі SID та Admin1 не повинні збігатися, але це полегшує роботу.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Очікуваний результат:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Переконайтеся, що ви не помилилися паролем, протестувавши його.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Очікуваний результат:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Ваш диск тепер використовується за допомогою блокування OPAL.
Тепер ви повинні ПОВНІСТЮ ВИМКНУТИ СВОЮ СИСТЕМУ.
Це блокує диск, щоб при перезавантаженні системи він завантажував PBA.

Інформація про відновлення:

Якщо після ввімкнення блокування виникла проблема, ви можете вимкнути блокування або видалити OPAL, щоб продовжувати використовувати диск без блокування.

Якщо ви хочете вимкнути блокування та PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Очікуваний результат:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Ви можете знову ввімкнути блокування та PBA за допомогою цієї послідовності команд.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Очікуваний результат:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Деякі диски OPAL мають помилку мікропрограми, яка стирає всі дані, якщо ви видаєте наведені нижче команди. Перегляньте статтю Видалити опал для списку пар дисків/мікропрограм, які, як відомо, були протестовані.

Щоб видалити OPAL, видайте такі команди:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Очікуваний результат:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Повернутися до початку