Szyfrowanie systemu operacyjnego Ubuntu przy użyciu dysku twardego SED
Summary: Przewodnik firmy Dell dotyczący szyfrowania systemu operacyjnego Ubuntu przy użyciu samoszyfrującego dysku twardego.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Szyfrowanie systemu Ubuntu
Ostrzeżenie: Firma Dell oficjalnie nie obsługuje szyfrowania systemu Linux. Niniejszy przewodnik jest udostępniany w celach informacyjnych. Firma Dell nie jest w stanie pomóc w rozwiązywaniu problemów lub konfigurowaniu Ubuntu do korzystania ze sprzętowych dysków samoszyfrujących.
Pobrano z: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Włączanie hibernacji
-
Otwórz terminal.
-
Wpisz poniższe polecenie, aby sprawdzić, czy system może przejść w stan hibernacji:
# sudo systemctl hibernate -
Jeśli to zadziała, możesz użyć polecenia hibernacji na żądanie lub utworzyć plik, aby dodać opcję hibernacji do menu systemu:
tworzyć/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Dodaj następujące elementy do pliku i zapisz:[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Jeśli hibernacja nie działa:
Sprawdź, czy partycja wymiany jest co najmniej tak duża jak dostępna pamięć RAM.
Obecność partycji btrfs okazała się powodować niepowodzenie hibernacji, więc sprawdź, czy nie używasz żadnych partycji btrfs. Oprócz usunięcia lub sformatowania takich partycji konieczne może być usunięcie pakietu btrfs-tools:# sudo apt purge btrfs-tools
Włącz sedutil, aby działał, włączając allow_tpm
Pobrano z: https://jorgenmodin.net/
Należy włączyć moduł TPM:
libata.allow_tpm=1
...należy dodać do parametrów Grub.
W /etc/default/grub Oznacza to, że powinna istnieć linia, która mówi coś takiego:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Następnie zaktualizuj grub i uruchom ponownie komputer.
# sudo update-grub
Szyfrowanie dysku
Pobrano z: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Ostrzeżenie: Użytkownicy klawiatur innych niż us_english:
Zarówno PBA, jak i systemy ratunkowe używają klawiatury us_english. Może to powodować problemy podczas ustawiania hasła w normalnym systemie operacyjnym, jeśli używasz innego mapowania klawiatury. Aby mieć pewność, że PBA rozpoznaje hasło, zaleca się skonfigurowanie dysku z systemu ratunkowego zgodnie z opisem na tej stronie.
Zarówno PBA, jak i systemy ratunkowe używają klawiatury us_english. Może to powodować problemy podczas ustawiania hasła w normalnym systemie operacyjnym, jeśli używasz innego mapowania klawiatury. Aby mieć pewność, że PBA rozpoznaje hasło, zaleca się skonfigurowanie dysku z systemu ratunkowego zgodnie z opisem na tej stronie.
Przygotowanie startowego systemu ratunkowego
Pobierz system ratunkowy dla komputera z systemem BIOS 
* Obsługa UEFI wymaga wyłączenia funkcji Secure Boot.
Dekompresja systemu ratunkowego: (Użytkownicy systemu Windows muszą skorzystać z programu 7-zip
gunzip RESCUE32.img.gz
--lub--gunzip RESCUE64.img.gz
Prześlij obraz ratunkowy na pamięć USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? to węzeł urządzenia podstawowego pamięci USB, bez numeru)
--lub--dd if=RESCUE64.img of=/dev/sd?
Windows: Użyj win32DiskImager z sourceforge, aby zapisać obraz na nośniku USB.
Uruchom pamięć USB z systemem ratunkowym. Pojawi się okno logowania, wpisz root, nie ma hasła, więc pojawi się okno powłoki root.
WSZYSTKIE poniższe kroki należy wykonać w SYSTEMIE RATUNKOWYM.
Test sedutil
Wprowadź polecenie: sedutil-cli --scan
Oczekiwany wynik:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Sprawdź, czy w drugiej kolumnie dysku znajduje się dwójka wskazująca obsługę OPAL 2. Jeśli tak nie jest, coś uniemożliwia sedutil obsługę dysku. Kontynuowanie może spowodować usunięcie wszystkich danych.
Test PBA
Wprowadź polecenie linuxpba i użyj hasła debugowania. Jeśli nie użyjesz debugowania jako hasła, system uruchomi się ponownie.
Oczekiwany wynik:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Sprawdź, czy dysk znajduje się na liście, a PBA zgłasza go jako „OPAL”.
Wpisanie poleceń w kolejnych krokach spowoduje zablokowanie OPAL. W przypadku wystąpienia problemu należy wykonać czynności opisane na końcu tej strony (Informacje
W poniższych krokach użyto /dev/sdc jako urządzenia i UEFI64-1.15.img.gz dla obrazu PBA, zastąp właściwy /dev/sd? dla dysku i prawidłową nazwę PBA dla systemu.
Włączanie blokowania i PBA
Wprowadź poniższe polecenia: (Użyj hasła debugowania w tym teście, zostanie ono zmienione później)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Zastąpić n.nn z numerem wydania.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Zastąpić n.nn z numerem wydania.
Oczekiwany wynik:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Ponowny test PBA
Wprowadź polecenie linuxpbai użyj hasła debugowania.
Ten drugi test weryfikuje, czy dysk rzeczywiście został odblokowany.
Oczekiwany wynik:
#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked <--- IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Sprawdź, czy PBA odblokowuje dysk, powinien pojawić się komunikat „is OPAL Unlocked”. Jeśli tak nie jest, musisz wykonać kroki opisane na końcu tej strony, aby usunąć OPAL lub wyłączyć blokadę.
Ustawianie prawdziwego hasła
Hasła SID i Admin1 nie muszą się zgadzać, ale ułatwia to pracę.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Oczekiwany wynik:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Upewnij się, że nie wpisano błędnego hasła, testując je.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Oczekiwany wynik:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Wjedź teraz za pomocą blokady OPAL.
Należy teraz CAŁKOWICIE WYŁĄCZYĆ SYSTEM.
Powoduje to również zablokowanie dysku, aby po ponownym uruchomieniu systemu uruchomić PBA.
Informacje o odzyskiwaniu:
Jeśli po włączeniu blokady wystąpi problem, można wyłączyć blokadę lub usunąć OPAL, aby kontynuować korzystanie z dysku bez blokady.
Jeśli chcesz wyłączyć blokadę i PBA:
sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>
Oczekiwany wynik:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Za pomocą tej sekwencji poleceń można ponownie włączyć blokadę i PBA.
sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>
Oczekiwany wynik:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Niektóre dyski OPAL mają problem z oprogramowaniem sprzętowym, który usuwa wszystkie dane po wydaniu poniższych poleceń. Zapoznaj się z artykułem usuwanie opal
Aby usunąć OPAL, należy wydać następujące polecenia:
sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>
Oczekiwany wynik:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: How To
Last Modified: 01 Aug 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.