Шифрування операційної системи Ubuntu за допомогою жорсткого диска SED

Шифрування Ubuntu

Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Увімкнути режим глибокого сну

1. Відкрийте термінал.

2. Щоб перевірити, чи може система переходити в режим глибокого сну, введіть наступне:

   # sudo systemctl hibernate

3. Якщо це працює, ви можете або використовувати команду глибокого сну на вимогу, або створити файл для додавання опції глибокого сну в меню систем:
   
   творити /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Додайте до файлу наступне та збережіть:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Якщо сплячий режим не допомагає:

   Перевірте, чи ваш розділ підкачки принаймні такий же великий, як доступна оперативна пам'ять.
   
   Доведено, що наявність розділів btrfs ускладнює помилку глибокого сну, тому переконайтеся, що ви не використовуєте жодного розділу btrfs. Окрім видалення або переформатування таких розділів, вам може знадобитися видалити пакунок btrfs-tools:

   # sudo apt purge btrfs-tools

Увімкніть роботу sedutil, увімкнувши allow_tpm

Взято з: https://jorgenmodin.net/

Необхідно ввімкнути модуль TPM:

libata.allow_tpm=1

... має бути додано до параметрів вашого Grub.

В /etc/default/grub Це означає, що має бути рядок, який говорить приблизно так:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Потім оновіть grub і перезавантажтеся.

# sudo update-grub

Шифрування диска

Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Підготуйте завантажувальну систему порятунку

Завантажте систему порятунку для BIOS або 64-розрядної машини UEFI .

* Підтримка UEFI вимагає вимкнення функції Secure Boot.
Розпакуйте систему порятунку: (користувачі Windows повинні використовувати 7-zip )

gunzip RESCUE32.img.gz
--або--
gunzip RESCUE64.img.gz

Перенесіть образ Rescue на USB-накопичувач.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? є вузлом базового пристрою USB-накопичувача, без номера)
--або--
dd if=RESCUE64.img of=/dev/sd?

Вікна: Використовуйте Win32DiskImager від sourceforge, щоб записати образ на USB-накопичувач.
Завантажте USB-накопичувач із системою порятунку на ньому. Ви побачите запит Вхід, введіть root Немає пароля, тому ви отримаєте запит оболонки root .

ВСІ наведені нижче кроки повинні бути виконані в СИСТЕМІ ПОРЯТУНКУ.

Тест sedutil

Вводимо команду: sedutil-cli --scan

Очікуваний результат:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Переконайтеся, що на вашому диску є двійка в другому стовпці, яка вказує на підтримку OPAL 2. Якщо це не відбувається, є щось, що заважає sedutil підтримувати ваш диск. Якщо ви продовжите, ви можете видалити всі дані.

Перевірте PBA

Вводимо команду linuxpba і використовуйте парольну фразу debug. Якщо ви не використовуєте debug як парольну фразу, ваша система перезавантажиться.

Очікуваний результат:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Переконайтеся, що ваш диск є в списку, а PBA повідомляє про нього як «OPAL».

Виконання команд у наступних кроках увімкне блокування OPAL. Якщо у вас виникла проблема, виконайте дії, наведені в кінці цієї сторінки (Інформація для відновлення), щоб вимкнути або видалити блокування OPAL.

Наступні кроки використовують /dev/sdc як пристрій і UEFI64-1.15.img.gz для зображення PBA замініть відповідне /dev/sd? для вашого диска та відповідне ім'я PBA для вашої системи.

Увімкніть блокування та PBA

Введіть команди нижче: (Використовуйте пароль debug для цього тесту, він буде змінений пізніше)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Замінити n.nn з номером випуску.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Замінити n.nn з номером випуску.

Очікуваний результат:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Перевірте PBA ще раз

Введіть команду linuxpba і скористайтеся парольною фразою debug.
Цей другий тест підтверджує, що ваш диск дійсно розблоковано.

Очікуваний результат:

#linuxpba

DTA LINUX Pre Boot Authorization

Введіть парольну фразу для розблокування дисків OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    <--- IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Переконайтеся, що PBA розблоковує ваш диск, на ньому має бути написано «OPAL Unlocked» Якщо це не так, ви повинні виконати кроки в кінці цієї сторінки, щоб видалити OPAL або вимкнути блокування.

Встановіть реальний пароль

Паролі SID та Admin1 не обов'язково повинні збігатися, але це спрощує роботу.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Очікуваний результат:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Переконайтеся, що ви не помилилися з паролем, перевіривши його.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Очікуваний результат:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Тепер ви керуєте автомобілем за допомогою блокування OPAL.
Тепер ви повинні ПОВНІСТЮ ВИМКНУТИ ЖИВЛЕННЯ ВАШОЇ СИСТЕМИ.
Це блокує диск таким чином, щоб під час перезавантаження системи він завантажував PBA.

Інформація для відновлення:

Якщо після ввімкнення блокування виникла проблема, ви можете вимкнути блокування або видалити OPAL, щоб продовжити використання диска без блокування.

Якщо ви хочете відключити блокування та PBA:

sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>

Очікуваний результат:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Ви можете знову ввімкнути блокування та PBA за допомогою цієї послідовності команд.

sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>

Очікуваний результат:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Деякі диски OPAL мають проблему з мікропрограмою, яка стирає всі дані, якщо ви віддаєте наведені нижче команди. Перегляньте список пар диск/прошивка, про які відомо, що вони були протестовані.

Щоб видалити OPAL, віддайте такі команди:

sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>

Очікуваний результат:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Догори