Kryptera operativsystemet Ubuntu med hjälp av en SED-hårddisk
Summary: Dells bästa möjliga-guide för att kryptera operativsystemet Ubuntu när du använder en självkrypterande hårddisk.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Kryptera Ubuntu
Varning! Dell har inte officiellt stöd för Linux-kryptering. Den här guiden tillhandahålls för dig i informationssyfte. Dell kan inte hjälpa till med felsökning eller att konfigurera Ubuntu för att använda självkrypterande hårdvaruenheter.
Hämtad från: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Aktivera viloläge
-
Öppna terminalen.
-
Skriv följande för att kontrollera om systemet kan gå i viloläge:
# sudo systemctl hibernate -
Om det fungerar kan du antingen använda kommandot för att viloläge på begäran eller skapa en fil för att lägga till vilolägesalternativet i menysystemen:
skapa/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Lägg till följande i filen och spara:[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Om viloläget inte fungerar:
Kontrollera om växlingspartitionen är minst lika stor som det tillgängliga RAM-minnet.
Förekomsten av btrfs-partitioner har visat sig göra att viloläget misslyckas, så kontrollera att du inte använder några btrfs-partitioner. Förutom att ta bort eller formatera om sådana partitioner kan du behöva ta bort paketet btrfs-tools:# sudo apt purge btrfs-tools
Aktivera sedutil för att fungera genom att aktivera allow_tpm
Hämtad från: https://jorgenmodin.net/
Du måste aktivera TPM:
libata.allow_tpm=1
... måste läggas till i din Grubs parametrar.
I /etc/default/grub Det betyder att det ska finnas en rad som säger ungefär så här:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Uppdatera sedan grub och starta om.
# sudo update-grub
Kryptera din enhet
Hämtad från: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Varning! Användare av icke-us_english tangentbord:
Både PBA- och räddningssystemen använder det us_english tangentbordet. Det här kan orsaka problem när du ställer in lösenordet i ditt vanliga operativsystem om du använder en annan tangentbordsmappning. För att vara säker på att PBA känner igen ditt lösenord uppmanas du att ställa in din körning från räddningssystemet enligt beskrivningen på den här sidan.
Både PBA- och räddningssystemen använder det us_english tangentbordet. Det här kan orsaka problem när du ställer in lösenordet i ditt vanliga operativsystem om du använder en annan tangentbordsmappning. För att vara säker på att PBA känner igen ditt lösenord uppmanas du att ställa in din körning från räddningssystemet enligt beskrivningen på den här sidan.
Förbereda ett startbart räddningssystem
Ladda ner räddningssystemet för BIOS 
* UEFI-support kräver att säker start stängs av.
Dekomprimera räddningssystemet: ( Windows-användare måste använda 7-zip
gunzip RESCUE32.img.gz
--eller--gunzip RESCUE64.img.gz
Överför räddningsbilden till USB-minnet.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? är USB-minnets basenhetsnod, inget nummer)
--eller--dd if=RESCUE64.img of=/dev/sd?
Windows: Använd Win32DiskImager från sourceforge för att skriva avbildningen till USB-minnet.
Starta USB-minnet med räddningssystemet på. Du ser inloggningsprompten, ange root det finns inget lösenord så du får en root shell-prompt.
ALLA steg nedan ska köras på RÄDDNINGSSYSTEMET.
Test sedutil
Ange kommandot: sedutil-cli --scan
Förväntade utdata:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Kontrollera att disken har en tvåa i den andra kolumnen som indikerar stöd för OPAL 2. Om det inte gör det, finns det något som hindrar sedutil från att stödja din enhet. Om du fortsätter kan du radera alla data.
Testa PBA
Ange kommandot linuxpba och använd en lösenfras för felsökning. Om du inte använder debug som lösenfras startas systemet om.
Förväntade utdata:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontrollera att din enhet visas och att PBA rapporterar den som "är OPAL".
Om du utfärdar kommandona i stegen som följer aktiveras OPAL-låsning. Om du har problem måste du följa stegen i slutet av den här sidan (Återställningsinformation
I följande steg används /dev/sdc som enhet och UEFI64-1.15.img.gz för PBA-bilden, ersätt med rätt /dev/sd? för din enhet och rätt PBA-namn för ditt system.
Aktivera låsning och PBA
Ange kommandona nedan: (Använd lösenordet för felsökning för detta test, det ändras senare)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Ersätta n.nn med versionsnumret.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Ersätta n.nn med versionsnumret.
Förväntade utdata:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Testa PBA, igen
Ange kommandot linuxdba och använd en lösenfras för felsökning.
Det här andra testet verifierar att enheten verkligen låses upp.
Förväntade utdata:
#linuxpba
DTA LINUX auktorisering
före start Ange lösenfras för att låsa upp OPAL-enheter: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked <--- IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontrollera att PBA:n låser upp din enhet, det ska stå "är OPAL olåst" Om den inte gör det måste du följa stegen i slutet av denna sida för att antingen ta bort OPAL eller inaktivera låsning.
Ställ in ett riktigt lösenord
Lösenorden SID och Admin1 behöver inte matcha, men det gör det enklare.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Förväntade utdata:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Kontrollera att du inte har skrivit fel lösenord genom att testa det.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Förväntade utdata:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Din inkörning nu med OPAL-låsning.
Du måste nu STÄNGA AV SYSTEMET HELT.
Detta låser enheten så att när du startar om systemet startar det PBA.
Återställningsinformation:
Om det uppstår ett problem efter att du har aktiverat låsning kan du antingen avaktivera låsning eller ta bort OPAL för att fortsätta använda enheten utan att låsa.
Gör så här om du vill avaktivera låsning och PBA:
sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>
Förväntade utdata:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Du kan återaktivera låsning och PBA med den här kommandosekvensen.
sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>
Förväntade utdata:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Vissa OPAL-enheter har ett problem med den fasta programvaran som raderar alla data om du utfärdar kommandona nedan. Se ta bort Opal
Om du vill ta bort OPAL utfärdar du följande kommandon:
sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>
Förväntade utdata:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: How To
Last Modified: 01 Aug 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.