Criptografando seu sistema operacional Ubuntu com uma unidade de disco rígido SED

Criptografando o Ubuntu

Fonte: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Habilitar hibernação

1. Abra o terminal.

2. Digite o seguinte comando para verificar se o sistema pode hibernar:

   # sudo systemctl hibernate

3. Se puder, será possível usar o comando para hibernar sob demanda ou criar um arquivo para adicionar a opção de hibernação aos sistemas de menu:
   
   criar /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Adicione o seguinte ao arquivo e salve:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Se ele não puder hibernar:

   Verifique se a partição de troca tem, ao menos, o mesmo tamanho da RAM disponível.
   
   É comprovado que a presença de partições btrfs faz com que a hibernação falhe. Dessa forma, verifique se você não está usando alguma partição btrfs. Além de remover ou reformatar essas partições, talvez seja necessário remover o pacote btrfs-tools:

   # sudo apt purge btrfs-tools

Habilite o funcionamento do sedutil habilitando allow_tpm

Fonte: https://jorgenmodin.net/

Você precisa habilitar o TPM:

libata.allow_tpm=1

... precisa ser adicionado aos parâmetros do Grub.

Em /etc/default/grub Isso significa que deve haver uma linha que diga algo assim:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Em seguida, atualize o Grub e reinicialize.

# sudo update-grub

Criptografar a sua unidade

Fonte: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Preparar um sistema de resgate inicializável

Faça download do sistema de resgate para BIOS ou máquina UEFI de 64 bits.

* O suporte a UEFI exige que a inicialização segura seja desativada.
Descompacte o sistema de resgate: (Os usuários do Windows devem usar o 7-zip )

gunzip RESCUE32.img.gz
--ou--
gunzip RESCUE64.img.gz

Transfira a imagem de resgate para o pen drive.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? é o nó do dispositivo de base do pen drive, sem número)
--ou--
dd if=RESCUE64.img of=/dev/sd?

Windows: Use o Win32DiskImager da Sourceforge para gravar a imagem na unidade USB.
Inicialize o pen drive USB que contém o sistema de resgate. Você verá o prompt de login, digite root. Não há senha, portanto, você obterá um prompt root shell.

TODAS as etapas abaixo devem ser executadas no SISTEMA DE RESGATE.

Testar sedutil

Digite o comando: sedutil-cli --scan

Saída esperada:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Verifique se a unidade tem dois na segunda coluna indicando suporte para OPAL 2. Se não tiver, algo está impedindo o sedutil de oferecer suporte à sua unidade. Se você continuar, poderá apagar todos os dados.

Testar a PBA

Digite o comando linuxpba e use uma frase secreta de depuração. Se você não usar a frase secreta de depuração, o sistema será reinicializado.

Saída esperada:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique se a sua unidade está listada e se a PBA a reporta como "is OPAL".

A emissão dos comandos nas etapas a seguir ativará o bloqueio de OPAL. Se você tiver um problema, siga as etapas no final desta página (Informações de recuperação ) para desativar ou remover o bloqueio OPAL.

As etapas a seguir usam /dev/sdc como o dispositivo e UEFI64-1.15.img.gz para a imagem PBA, substitua a /dev/sd? para sua unidade e o nome de PBA adequado para seu sistema.

Habilitar o bloqueio e a PBA

Digite os comandos abaixo: (Use a senha de depuração neste teste. Ela será alterada posteriormente)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Substituir n.nn com o número da versão.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Substituir n.nn com o número da versão.

Saída esperada:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testar a PBA novamente

Digite o comando linuxpba e use uma frase secreta de depuração.
Este segundo teste verifica se a unidade está realmente desbloqueada.

Saída esperada:

#linuxpba

Autorização de pré-inicialização do DTA LINUX

Insira a frase secreta para desbloquear as unidades OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    <--- IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique se a PBA desbloqueou a sua unidade. Deve aparecer "is OPAL Unlocked". Se a unidade não estiver desbloqueada, siga as etapas no final desta página para remover o OPAL ou desativar o bloqueio.

Definir uma senha real

As senhas de SID e Admin1 não precisam ser correspondentes, mas isso facilita tudo.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Saída esperada:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Faça o teste para garantir que você não digitou errado sua senha.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Saída esperada:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Sua unidade agora está usando o bloqueio OPAL.
Agora, você deve DESLIGAR COMPLETAMENTE O SISTEMA.
Isso bloqueia a unidade para que, quando você reiniciar o sistema, ele inicialize o PBA.

Informações de recuperação:

Se houver um problema após a ativação do bloqueio, você poderá desativar o bloqueio ou remover o OPAL para continuar usando a unidade sem bloqueio.

Se você quiser desativar o bloqueio e a PBA:

sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>

Saída esperada:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Você pode reativar o bloqueio e a PBA usando esta sequência de comandos.

sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>

Saída esperada:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Algumas unidades OPAL têm um problema de firmware que apaga todos os dados se você emitir os comandos abaixo. Consulte Remover OPAL para obter uma lista dos pares de unidade/firmware que foram testados.

Para remover o OPAL, execute estes comandos:

sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>

Saída esperada:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Voltar ao início