Kryptere Ubuntu-operativsystemet ved hjelp av en SED-harddisk
Summary: Dells veiledning når det gjelder best evne til å kryptere Ubuntu OS når du bruker en harddisk med egenkryptering.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Kryptere Ubuntu
Advarsel: Dell støtter ikke offisielt Linux-kryptering. Denne veiledningen er gitt til deg for informasjonsformål. Dell kan ikke hjelpe til med feilsøking eller konfigurere Ubuntu til å bruke selvkrypterende maskinvaredisker.
Hentet fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Aktiver dvalemodus
-
Åpne terminalen.
-
Skriv inn følgende for å kontrollere om systemet kan gå i dvalemodus:
# sudo systemctl hibernate -
Hvis det fungerer, kan du enten bruke kommandoen til dvalemodus på forespørsel eller opprette en fil for å legge til dvalemodusalternativet til menysystemene:
skape/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Legg til følgende i filen, og lagre:[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Hvis dvalemodus ikke fungerer:
Sjekk om byttepartisjonen din er minst like stor som tilgjengelig RAM.
Tilstedeværelsen av btrfs-partisjoner har vist seg å få dvalemodus til å mislykkes, så sjekk at du ikke bruker noen btrfs-partisjoner. I tillegg til å fjerne eller formatere slike partisjoner, må du kanskje fjerne btrfs-tools-pakken:# sudo apt purge btrfs-tools
Aktiver sedutil å fungere ved å aktivere allow_tpm
Hentet fra: https://jorgenmodin.net/
Du må aktivere TPM:
libata.allow_tpm=1
... må legges til Grubs parametere.
I /etc/default/grub Det betyr at det skal være en linje som sier noe slikt:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Oppdater deretter grub og start på nytt.
# sudo update-grub
Kryptere harddisken
Hentet fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Advarsel: Brukere av ikke-us_english tastaturer:
Både PBA- og redningssystemene bruker us_english-tastaturet. Dette kan føre til problemer når du angir passordet på det vanlige operativsystemet hvis du bruker en annen tastaturtilordning. For å sikre at PBA gjenkjenner passordet ditt, oppfordres du til å sette opp stasjonen din fra redningssystemet som beskrevet på denne siden.
Både PBA- og redningssystemene bruker us_english-tastaturet. Dette kan føre til problemer når du angir passordet på det vanlige operativsystemet hvis du bruker en annen tastaturtilordning. For å sikre at PBA gjenkjenner passordet ditt, oppfordres du til å sette opp stasjonen din fra redningssystemet som beskrevet på denne siden.
Klargjøre et oppstartbart redningssystem
Last ned redningssystemet for BIOS 
* UEFI-støtte krever at sikker oppstart er slått av.
Dekomprimere redningssystemet: (Windows-brukere må bruke 7-zip
gunzip RESCUE32.img.gz
--eller--gunzip RESCUE64.img.gz
Overfør redningsbildet til USB-pinnen.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? er USB-pinnebaseenhetsnoden, ikke noe nummer)
- eller -dd if=RESCUE64.img of=/dev/sd?
Windows: Bruk Win32DiskImager fra sourceforge til å skrive bildet til USB-minnepinnen.
Start USB-minnepinnen med redningssystemet på. Du ser påloggingsprompten, skriv inn rot , det er ikke noe passord, slik at du får en rotskallprompt.
ALLE trinnene nedenfor skal kjøres på RESCUE SYSTEM.
Prøve sedutil
Skriv inn kommandoen: sedutil-cli --scan
Forventet utdata:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Kontroller at stasjonen har to i den andre kolonnen som indikerer OPAL 2-støtte. Hvis det ikke fortsetter, er det noe som hindrer sedutil fra å støtte stasjonen din. Hvis du fortsetter, kan du slette alle data.
Test the PBA
Skriv inn kommandoen linuxpba og bruke en passordfrase for feilsøking. Hvis du ikke bruker feilsøking som passord, starter systemet på nytt.
Forventet utdata:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontroller at stasjonen din er oppført, og at PBA rapporterer den som "er OPAL".
Utstedelse av kommandoene i trinnene som følger vil aktivere OPAL-låsing. Hvis du har et problem, må du følge trinnene på slutten av denne siden (Recovery Information
Følgende trinn bruker / dev / sdc som enhet og UEFI64-1.15.img.gz for PBA-bildet, erstatt riktig /dev/sd? for stasjonen og riktig PBA-navn for systemet.
Aktiver låsing og PBA
Skriv inn kommandoene nedenfor: (Bruk passordet til feilsøking for denne testen, det endres senere)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Erstatte n.nn med utgivelsesnummeret.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Erstatte n.nn med utgivelsesnummeret.
Forventet utdata:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Test PBA, igjen
Skriv inn kommandoen linuxpba, og bruk en passordfrase for feilsøking.
Denne andre testen bekrefter at stasjonen din virkelig blir låst opp.
Forventet utdata:
#linuxpba
DTA LINUX-autorisasjon
før oppstart Skriv inn passordfrase for å låse opp OPAL-stasjoner: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked <--- IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontroller at PBA låser opp stasjonen din, den skal si "is OPAL Unlocked" Hvis ikke, må du følge trinnene på slutten av denne siden for å enten fjerne OPAL eller deaktivere låsing.
Angi et ekte passord
SID- og Admin1-passordene trenger ikke å samsvare, men det gjør ting enklere.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Forventet utdata:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Kontroller at du ikke skrev inn passordet feil ved å teste det.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Forventet utdata:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Kjør inn nå ved hjelp av OPAL-låsing.
Du må nå slå helt av systemet.
Dette låser stasjonen slik at når du starter systemet på nytt, starter den PBA.
Gjenopprettingsinformasjon:
Hvis det oppstår et problem etter at du har aktivert låsing, kan du enten deaktivere låsing eller fjerne OPAL for å fortsette å bruke stasjonen uten å låse.
Hvis du vil deaktivere låsing og PBA:
sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>
Forventet utdata:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Du kan aktivere låsing og PBA på nytt ved hjelp av denne kommandosekvensen.
sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>
Forventet utdata:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Noen OPAL-stasjoner har et fastvareproblem som sletter alle data hvis du utsteder kommandoene nedenfor. Se fjerne Opal
Hvis du vil fjerne OPAL, utsteder du disse kommandoene:
sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>
Forventet utdata:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: How To
Last Modified: 01 Aug 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.