Cifrar el sistema operativo Ubuntu mediante un disco duro SED

Cifrado de Ubuntu

Información obtenida desde el enlace: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Habilitar hibernación

1. Abra el terminal.

2. Escriba lo siguiente para verificar si el sistema puede entrar en hibernación:

   # sudo systemctl hibernate

3. Si funciona, puede utilizar el comando para hibernar según demanda o crear un archivo para agregar la opción de hibernación a los sistemas de menú:
   
   crear /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Agregue lo siguiente al archivo y guarde:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Si la hibernación no funciona:

   Compruebe si su partición de intercambio tiene al menos la misma capacidad que la RAM disponible.
   
   Se demostró que la presencia de particiones btrfs hace que la hibernación falle, por lo que debe comprobar que no esté utilizando ninguna partición btrfs. Además de eliminar o formatear dichas particiones, es posible que deba eliminar el paquete btrfs-tools:

   # sudo apt purge btrfs-tools

Habilite sedutil para que funcione activando allow_tpm

Tomado de: https://jorgenmodin.net/

Debe habilitar TPM:

libata.allow_tpm=1

…se debe agregar a sus parámetros de Grub.

En /etc/default/grub Eso significa que debería haber una línea que diga algo como esto:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Luego, actualice grub y reinicie.

# sudo update-grub

Cifrado de la unidad

Información obtenida desde el enlace: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Preparar un sistema de rescate de arranque

Descargue el sistema de rescate para el BIOS o la máquina UEFI de 64 bits.

* El soporte con UEFI requiere que el arranque seguro esté apagado.
Descomprima el sistema de rescate: (Los usuarios de Windows deben utilizar 7-zip )

gunzip RESCUE32.img.gz
--o--
gunzip RESCUE64.img.gz

Transfiera la imagen de rescate a la unidad USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? es el nodo del dispositivo base de la unidad USB, sin número)
--o--
dd if=RESCUE64.img of=/dev/sd?

Windows: Use Win32DiskImager desde sourceforge para escribir la imagen en la unidad USB.
Arranque la unidad USB con el sistema de rescate. Verá el símbolo del sistema de inicio de sesión, ingrese root; no hay contraseña, por lo que obtendrá el símbolo del sistema shell de raíz.

TODOS los pasos que se indican a continuación se deben ejecutar en el SISTEMA DE RESCATE.

Prueba sedutil

Ingrese el comando: sedutil-cli --scan

Resultado esperado:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Verifique que la unidad tenga un dos en la segunda columna que indica compatibilidad con OPAL 2. Si no es así, no continúe, pues hay algo que impide que sedutil soporte la unidad. Si continúa, es posible que borre todos los datos.

Probar la PBA

Ingrese el comando linuxpba y utilice una frase de contraseña de depuración. Si no utiliza “debug” como frase de contraseña, el sistema se reinicia.

Resultado esperado:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique que la unidad aparezca en la lista y que la PBA informe que “es OPAL”.

Emitir los comandos en los pasos que se indican a continuación habilitará el bloqueo de OPAL. Si tiene algún problema, debe seguir los pasos que se indican al final de esta página (Información de recuperación ) para desactivar o eliminar el bloqueo OPAL.

En los siguientes pasos, se utiliza /dev/sdc como dispositivo y UEFI64-1.15.img.gz para la imagen de PBA, sustitúyala /dev/sd? para la unidad y el nombre PBA adecuado para el sistema.

Habilitar el bloqueo y la PBA

Ingrese los siguientes comandos: (Utilice la contraseña de depuración para esta prueba; esta se cambiará más adelante)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Reemplazar n.nn con el número de versión.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Reemplazar n.nn con el número de versión.

Resultado esperado:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Vuelva a probar la PBA

Ingrese el comando linuxpba y utilice una frase de contraseña de depuración.
Esta segunda prueba verifica que la unidad realmente se desbloquee.

Resultado esperado:

#linuxpba

DTA LINUX Pre Boot Authorization

Ingrese la frase de contraseña para desbloquear las unidades OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    <--- IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique que la PBA desbloquee la unidad; debe decir “is OPAL Unlocked”. Si no es al caso, debe seguir los pasos que se indican al final de esta página para eliminar OPAL o deshabilitar el bloqueo.

Establecer una contraseña real

Las contraseñas de SID y Admin1 no tienen que coincidir, pero facilitan el proceso.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Resultado esperado:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Asegúrese de no haber escrito mal su contraseña probándola.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Resultado esperado:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Su unidad ahora usa el bloqueo OPAL.
Ahora debe APAGAR COMPLETAMENTE EL SISTEMA.
Esto bloquea la unidad para que, cuando reinicie el sistema, arranque el PBA.

Información de recuperación:

Si hay un problema después de habilitar el bloqueo, puede deshabilitar el bloqueo o quitar OPAL para continuar utilizando la unidad sin bloqueo.

Si desea deshabilitar el bloqueo y la PBA:

sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>

Resultado esperado:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Puede volver a activar el bloqueo y la PBA mediante esta secuencia de comandos.

sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>

Resultado esperado:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Algunas unidades OPAL tienen un problema de firmware que borra todos los datos si emite los siguientes comandos. Consulte Eliminar opal para obtener una lista de pares de unidades/firmware de funcionamiento comprobado.

Para eliminar OPAL, ejecute estos comandos:

sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>

Resultado esperado:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Volver al principio