Ubuntu-käyttöjärjestelmän salaaminen SED-kiintolevyllä
Summary: Dellin parhaiden edellytysten opas Ubuntu-käyttöjärjestelmän salaamiseen, kun käytetään itsesalaavaa kiintolevyä.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Ubuntun salaus
Varoitus: Dell ei virallisesti tue Linux-salausta. Tämä opas toimitetaan sinulle tiedoksi. Dell ei voi auttaa vianmäärityksessä tai Ubuntun asettamisessa käyttämään laitteiston itsesalaavia asemia.
Otettu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Ota lepotila käyttöön
-
Avaa pääte.
-
Tarkista seuraavan artikkelin avulla, voiko järjestelmä siirtyä horrostilaan:
# sudo systemctl hibernate -
Jos se toimii, voit joko käyttää komentoa horrostilaan pyynnöstä tai luoda tiedoston lisätäksesi lepotilavaihtoehdon valikkojärjestelmiin:
luoda/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Lisää tiedostoon seuraavat tiedot ja tallenna:[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Jos lepotila ei toimi:
Tarkista, onko sivutusosio vähintään yhtä suuri kuin käytettävissä oleva RAM-muisti.
Btrfs-osioiden läsnäolo on osoittautunut lepotilan epäonnistumiseksi, joten tarkista, että et käytä btrfs-osioita. Tällaisten osioiden poistamisen tai uudelleenmuotoilun lisäksi saatat joutua poistamaan btrfs-tools-paketin:# sudo apt purge btrfs-tools
Ota sedutil käyttöön ottamalla käyttöön allow_tpm
Otettu: https://jorgenmodin.net/
TPM on otettava käyttöön:
libata.allow_tpm=1
... on lisättävä Grubin parametreihin.
IN /etc/default/grub Tämä tarkoittaa, että pitäisi olla rivi, joka sanoo jotain tällaista:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Päivitä sitten grub ja käynnistä uudelleen.
# sudo update-grub
Aseman salaaminen
Otettu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Varoitus: Muiden kuin us_english näppäimistöjen käyttäjät:
Sekä PBA- että pelastusjärjestelmissä käytetään us_english-näppäimistöä. Tämä voi aiheuttaa ongelmia normaalin käyttöjärjestelmän salasanan määrittämisessä, jos käytät jotakin muuta näppäimistön määritystä. Varmista, että PBA tunnistaa salasanasi, määrittämällä ajon pelastusjärjestelmästä tällä sivulla kuvatulla tavalla.
Sekä PBA- että pelastusjärjestelmissä käytetään us_english-näppäimistöä. Tämä voi aiheuttaa ongelmia normaalin käyttöjärjestelmän salasanan määrittämisessä, jos käytät jotakin muuta näppäimistön määritystä. Varmista, että PBA tunnistaa salasanasi, määrittämällä ajon pelastusjärjestelmästä tällä sivulla kuvatulla tavalla.
Käynnistettävän pelastusjärjestelmän valmisteleminen
Lataa pelastusjärjestelmä BIOSille 
* UEFI-tuki edellyttää, että Secure Boot on poissa käytöstä.
Pura pelastusjärjestelmä: ( Windows-käyttäjien on käytettävä 7-zip-tiedostoa
gunzip RESCUE32.img.gz
--tai--gunzip RESCUE64.img.gz
Siirrä pelastusnäköistiedosto USB-tikulle.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? on USB-tikun peruslaitesolmu, ei numeroa)
--tai--dd if=RESCUE64.img of=/dev/sd?
Windows: Käytä sourceforgen Win32DiskImageria kirjoittaaksesi kuvan USB-tikulle.
Käynnistä USB-muistitikku, jossa on pelastusjärjestelmä. Näet kirjautumiskehotteen, kirjoita root , salasanaa ei ole, joten saat root-komentokehotteen.
KAIKKI alla olevat vaiheet on suoritettava RESCUE SYSTEM -järjestelmässä.
Testi sedutil
Anna komento: sedutil-cli --scan
Odotettu tuotos:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Varmista, että aseman toisessa sarakkeessa on kaksi, joka ilmaisee OPAL 2 -tuen. Jos se ei etene, on jotain, joka estää sedutilia tukemasta asemaa. Jos jatkat, voit poistaa kaikki tiedot.
PBA:n testaaminen
Anna komento linuxpba ja käytä virheenkorjauksen salasanaa. Jos et käytä virheenkorjausta salasanana, järjestelmä käynnistyy uudelleen.
Odotettu tuotos:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Varmista, että asema näkyy luettelossa ja että PBA ilmoittaa sen olevan OPAL.
Seuraavien vaiheiden komentojen antaminen ottaa OPAL-lukituksen käyttöön. Jos sinulla on ongelma, noudata tämän sivun lopussa olevia ohjeita (Palautumistiedot
Seuraavissa vaiheissa käytetään laitteena /dev/sdc ja UEFI64-1.15.img.gz korvaa PBA-näköistiedosto oikealla /dev/sd? asemalle ja järjestelmän oikea PBA-nimi.
Ota lukitus ja PBA käyttöön
Anna seuraavat komennot: (Käytä virheenkorjauksen salasanaa tässä testissä, se vaihdetaan myöhemmin)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Korvata n.nn julkaisunumeron kanssa.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Korvata n.nn julkaisunumeron kanssa.
Odotettu tuotos:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Testaa PBA uudelleen
Kirjoita komento linuxpba ja käytä salalausetta virheenkorjaus.
Tämä toinen testi varmistaa, että aseman lukitus todella avautuu.
Odotettu tuotos:
#linuxpba
Käynnistystä edeltävä DTA LINUX -valtuutus
Avaa OPAL-asemien lukitus antamalla salasana: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked <--- IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Varmista, että PBA avaa aseman lukituksen. Siinä pitäisi lukea "is OPAL Unlocked" Jos näin ei ole, sinun on joko poistettava OPAL tai poistettava lukitus käytöstä noudattamalla tämän sivun lopussa olevia ohjeita.
Aseta oikea salasana
SID- ja Admin1-salasanojen ei tarvitse täsmätä, mutta se helpottaa asioita.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Odotettu tuotos:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Varmista, ettet ole kirjoittanut salasanaasi väärin testaamalla sitä.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Odotettu tuotos:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Aja sisään nyt OPAL-lukituksella.
Sinun on nyt SAMMUTETTAVA JÄRJESTELMÄ KOKONAAN.
Tämä lukitsee aseman niin, että kun käynnistät järjestelmän uudelleen, PBA käynnistyy.
Palautumistiedot:
Jos lukituksen käyttöönoton jälkeen ilmenee ongelma, voit joko poistaa lukituksen käytöstä tai poistaa OPALin ja jatkaa aseman käyttöä lukitsematta.
Jos haluat poistaa lukituksen ja PBA:n käytöstä:
sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>
Odotettu tuotos:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Voit ottaa lukituksen ja PBA:n uudelleen käyttöön seuraavalla komentojärjestyksellä.
sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>
Odotettu tuotos:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Joissakin OPAL-asemissa on laiteohjelmisto-ongelma, joka poistaa kaikki tiedot, jos annat alla olevat komennot. Kohdassa Poista opaali
Voit poistaa OPALin antamalla seuraavat komennot:
sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>
Odotettu tuotos:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: How To
Last Modified: 01 Aug 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.