SEDハード ドライブを使用したUbuntuオペレーティング システムの暗号化

Ubuntuの暗号化

引用元：https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

休止状態を有効にする

1. ターミナルを開きます。

2. 次のように入力して、システムを休止状態にできるかどうかを確認します。

   # sudo systemctl hibernate

3. 正常に作動する場合は、コマンドを使用してオン デマンドで休止状態にするか、ファイルを作成してメニュー システムに休止状態オプションを追加することができます。
   
   /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pklaを作成します。作成したファイルに次を追加して、保存します。
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. 休止状態が機能しない場合：

   スワップ パーティションが使用可能なRAMと少なくとも同じ大きさであるかどうかを確認します。
   
   btrfsパーティションの存在により、休止状態が失敗することが証明されているため、btrfsパーティションを使用していないかどうかを確認します。このようなパーティションを削除または再フォーマットする以外に、btrfs-toolsパッケージを削除する必要がある場合があります。

   # sudo apt purge btrfs-tools

allow_tpmを有効にしてsedutilを作動させる

引用元：http://jorgenmodin.net/

TPMを有効にする必要があります。

libata.allow_tpm=1

...Grubのパラメーターに追加する必要があります。

つまり、/etc/default/grubの中に次のような行が存在する必要があります。

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

次にgrubをアップデートして再起動します。

# sudo update-grub

ドライブの暗号化

引用元：https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

ブータブル レスキュー システムの準備

BIOSまたは64ビットUEFIマシン用のレスキュー システムをダウンロードします。

* UEFIサポートでは、セキュア ブートをオフにする必要があります。
レスキュー システムを解凍します（Windowsユーザーは7-zipを使用する必要があります）。

gunzip RESCUE32.img.gz
--または--
gunzip RESCUE64.img.gz

レスキュー イメージをUSBスティックに転送します。
Linux：dd if=RESCUE32.img of=/dev/sd?（/dev/sd?はUSBスティック ベース デバイス ノード、番号なし）
--または--
dd if=RESCUE64.img of=/dev/sd?

Windowsの場合：sourceforgeからWin32DiskImagerを使用して、イメージをUSBスティックに書き込みます。
レスキュー システムを搭載したUSBサム ドライブを起動します。ログイン プロンプトが表示されたら、「root」と入力します。パスワードがないため、rootシェル プロンプトが表示されます。

以下のすべての手順は、レスキュー システムで実行する必要があります。

sedutilのテスト

次のコマンドを入力します。sedutil-cli --scan

予期される出力：


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
ご使用のドライブの2番目の列に、OPAL 2のサポートを示す2があることを確認します。確認できない場合は続行しないでください。sedutilがドライブをサポートするのを妨げている何らかの問題があります。続行すると、すべてのデータを消去できます。

PBAのテスト

コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。パスフレーズとしてデバッグを使用しない場合は、システムが再起動します。

予期される出力：

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

お使いのドライブがリストされていることと、PBAがドライブを「OPAL」として報告していることを確認します。

次の手順でコマンドを発行すると、OPALロックが有効になります。問題が発生した場合は、このページの最後にある手順（リカバリー情報 ）に従ってOPALロックを無効または削除する必要があります。

次の手順では、デバイスとして/dev/sdcを、PBAイメージにはUEFI64-1.15.img.gzを使用し、ドライブの適切な/dev/sd?とシステムの適切なPBA名を置き換えます。

トップに戻る

ロックとPBAを有効にする

次のコマンドを入力します（このテストではデバッグのパスワードを使用します。これは後で変更されます）。

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz n.nnをリリース番号に置き換えます。
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc n.nnをリリース番号に置き換えます。

予期される出力：

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

再度PBAをテスト

コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。
この2番目のテストでは、ドライブが実際にアンロックされることを確認します。

予期される出力：

#linuxpba

DTA LINUX起動前認証

パスフレーズを入力してOPALドライブをアンロックします。 *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

PBAがドライブをアンロックしていることを確認します。「iS OPAL Unlocked」と表示されます。表示されない場合は、このページの最後にある手順に従ってOPALを削除するか、ロックを無効にする必要があります。

実際のパスワードの設定

SIDとAdmin1のパスワードは一致させる必要はありませんが、より簡単になります。

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

予期される出力：

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

パスワードをテストして、入力に誤りがないことを確認します。

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

予期される出力：

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

これで、ドライブでOPALロックが使用されるようになりました。
次にシステムの電源を完全に切る必要があります。
これによりドライブがロックされ、システムを再起動するとPBAが起動します。

リカバリー情報：

ロックを有効にした後に問題が発生した場合は、ロックを無効にするかOPALを削除して、ロックせずにドライブを使用し続けることができます。

ロックとPBAを無効にする場合は、次の手順を実行します。

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

予期される出力：

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

次のコマンド シーケンスを使用して、ロックとPBAを再度有効にすることができます。

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

予期される出力：

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

一部のOPALドライブにはファームウェアのバグがあり、以下のコマンドを実行するとすべてのデータが消去されます。テスト済みであることが分かっているドライブ/ファームウェア ペアのリストについては、「opalの削除 」を参照してください。

OPALを削除するには、次のコマンドを実行します。

sedutil-cli --revertnoerase
sedutil-cli --reverttper

予期される出力：

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

トップに戻る