SED 하드 드라이브를 사용하여 Ubuntu 운영 체제 암호화

Ubuntu 암호화

출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

최대 절전 모드 활성화

1. 터미널을 엽니다.

2. 다음을 입력하여 시스템이 최대 절전 모드로 전환되는지 확인합니다.

   # sudo systemctl hibernate

3. 작동하면 명령을 사용하여 필요에 따라 최대 절전 모드로 전환하거나 파일을 생성하여 최대 절전 모드 옵션을 메뉴 시스템에 추가할 수 있습니다.
   
   /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla를 생성합니다. 파일에 다음을 추가하고 저장합니다.
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. 최대 절전 모드가 작동하지 않는 경우:

   스왑 파티션이 사용 가능한 RAM보다 크지 않은지 확인합니다.
   
   btrfs 파티션이 있으면 최대 절전 모드가 실패하므로 btrfs 파티션을 사용하고 있지 않은지 확인합니다. 이러한 파티션을 제거하거나 다시 포맷하는 것 외에도 btrfs-tools 패키지를 제거해야 할 수 있습니다.

   # sudo apt purge btrfs-tools

allow_tpm을 활성화하여 sedutil을 사용하도록 설정

출처: http://jorgenmodin.net/

TPM을 활성화해야 합니다.

libata.allow_tpm=1

grub의 매개변수에 추가되어야 합니다.

/etc/default/grub에서 즉, 다음과 같은 것을 말하는 줄이 있어야합니다.

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

그런 다음 grub을 업데이트하고 재부팅합니다.

# sudo update-grub

드라이브 암호화

출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

부팅 가능한 복구 시스템 준비

BIOS 또는 64비트 UEFI 머신에 대한 복구 시스템을 다운로드합니다.

* UEFI를 지원하려면 보안 부팅이 꺼져 있어야 합니다.
복구 시스템 압축 해제: (Windows 사용자는 7-zip을 사용해야 함)

gunzip RESCUE32.img.gz
--또는--
gunzip RESCUE64.img.gz

복구 이미지를 USB 스틱으로 이전하십시오.
Linux: dd if=RESCUE32.img of=/dev/sd?(/dev/sd?은 USB 스틱 기본 디바이스 노드이며 번호는 없음)
--또는--
dd if=RESCUE64.img of=/dev/sd?

Windows: SourceForge의 Win32DiskImager를 사용하여 USB 스틱에 이미지를 기록합니다.
복구 시스템이 장착된 USB 썸 드라이브를 부팅합니다. 로그인 프롬프트가 표시되면 root를 입력합니다. 비밀번호가 없으므로 루트 셸 프롬프트가 나타납니다.

아래의 모든 단계는 복구 시스템에서 실행해야합니다.

sedutil 테스트

다음 명령 입력: sedutil-cli --scan

예상 출력:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

드라이브의 두 번째 열에 OPAL 2 지원을 나타내는 두 개가 있는지 확인합니다. 계속 진행되지 않으면 sedutil이 드라이브를 지원하지 못하는 문제가 있습니다. 계속하면 모든 데이터를 지울 수 있습니다.

PBA 테스트

linuxpba 명령을 입력하고 디버그의 비밀번호를 사용합니다. 비밀번호 구문으로 debug를 사용하지 않으면 시스템이 재부팅됩니다.

예상 출력:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

드라이브가 나열되어 있고 PBA가 이를 "is OPAL"로 보고하는지 확인합니다.

다음 단계에서 명령을 실행하면 OPAL 잠금이 활성화됩니다. 문제가 있는 경우 이 페이지 끝(복구 정보 )의 단계에 따라 OPAL 잠금을 비활성화하거나 제거해야 합니다.

다음 단계에서는 디바이스로 /dev/sdc를 사용하고 UEFI64-1.15.img.gz를 사용하며, 드라이브에 대해 적절한 /dev/sd?를 대체하고 시스템에 대해 적절한 PBA 이름을 대체합니다.

맨 위로 이동

잠금 및 PBA 활성화

아래 명령을 입력합니다. (이 테스트에는 debug 비밀번호를 사용하며, 나중에 변경됨)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz 릴리스 번호로 n.nn를 대체합니다.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc 릴리스 번호로 n.nn를 대체합니다.

예상 출력:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

PBA를 다시 테스트

linuxpba 명령을 입력하고 debug 비밀번호를 사용합니다.
이 두 번째 테스트는 드라이브가 실제로 잠금 해제되는지 확인합니다.

예상 출력:

#linuxpba

DTA Linux 사전 부팅 인증

비밀번호 구문을 입력하여 OPAL 드라이브 잠금 해제: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

PBA가 드라이브의 잠금을 해제하는지 확인합니다. "is OPAL Unlocked"가 표시되어야 합니다. 그렇지 않은 경우 이 페이지 끝부분의 단계에 따라 OPAL을 제거하거나 잠금을 해제해야 합니다.

실제 비밀번호 설정

SID와 Admin1 비밀번호는 일치하지 않아도 되지만 더 쉽게 사용할 수 있습니다.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

예상 출력:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

비밀번호를 테스트하여 잘못 입력하지 않았는지 확인합니다.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

예상 출력:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

이제 드라이브가 OPAL 잠금을 사용하고 있습니다.
지금 시스템 전원을 완전히 꺼야 합니다.
이렇게 하면 시스템이 재시작될 때 PBA가 부팅되도록 드라이브가 잠깁니다.

복구 정보:

잠금을 활성화한 후 문제가 발생하면 잠금을 비활성화하거나 OPAL을 제거하여 잠그지 않고 드라이브를 계속 사용할 수 있습니다.

잠금 및 PBA를 비활성화하려면 다음을 수행합니다.

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

예상 출력:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

이 명령 시퀀스를 사용하여 잠금 및 PBA를 다시 활성화할 수 있습니다.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

예상 출력:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

일부 OPAL 드라이브에는 아래 명령을 실행하면 모든 데이터가 지워지는 펌웨어 버그가 있습니다. 테스트된 것으로 알려진 드라이브/펌웨어 쌍 목록은 opal 제거를 참조하십시오.

OPAL을 제거하려면 다음 명령을 실행합니다.

sedutil-cli --revertnoerase
sedutil-cli --reverttper

예상 출력:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

맨 위로 이동