Kryptering af dit Ubuntu-operativsystem ved hjælp af en SED-harddisk
Summary: Dells vejledning til bedste indsats til kryptering af dit Ubuntu OS, når du bruger en selvkrypterende harddisk.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Kryptering af Ubuntu
Advarsel: Dell understøtter ikke officielt Linux-kryptering. Denne vejledning udleveres til dig til orientering. Dell kan ikke hjælpe med fejlfinding eller opsætning af Ubuntu til at bruge hardware selvkrypterende drev.
Taget fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Aktivér dvaletilstand
-
Åbn terminalen.
-
Skriv følgende for at kontrollere, om systemet kan gå i dvale:
# sudo systemctl hibernate -
Hvis det virker, kan du enten bruge kommandoen til at dvale efter behov eller oprette en fil for at tilføje dvaleindstillingen til menusystemerne:
skabe/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Føj følgende til filen, og gem:[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Hvis dvaletilstand ikke virker:
Kontroller, om din swappartition er mindst lige så stor som din tilgængelige RAM.
Tilstedeværelsen af btrfs-partitioner har vist sig at få dvaletilstand til at mislykkes, så kontroller, at du ikke bruger nogen btrfs-partitioner. Udover at fjerne eller omformatere sådanne partitioner, skal du muligvis fjerne pakken btrfs-tools:# sudo apt purge btrfs-tools
Aktivér sedutil ved at aktivere allow_tpm
Taget fra: https://jorgenmodin.net/
Du skal aktivere TPM:
libata.allow_tpm=1
... skal føjes til din Grubs parametre.
I /etc/default/grub Det betyder, at der skal være en linje, der siger noget som dette:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Opdater derefter grub og genstart.
# sudo update-grub
Kryptering af dit drev
Taget fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Advarsel: Brugere af ikke-us_english tastaturer:
Både PBA og redningssystemer bruger det us_english tastatur. Dette kan medføre problemer, når du indstiller adgangskoden på dit normale operativsystem, hvis du bruger en anden tastaturtilknytning. For at sikre, at PBA genkender din adgangskode, opfordres du til at konfigurere dit drev fra redningssystemet som beskrevet på denne side.
Både PBA og redningssystemer bruger det us_english tastatur. Dette kan medføre problemer, når du indstiller adgangskoden på dit normale operativsystem, hvis du bruger en anden tastaturtilknytning. For at sikre, at PBA genkender din adgangskode, opfordres du til at konfigurere dit drev fra redningssystemet som beskrevet på denne side.
Forbered et startbart redningssystem
Download redningssystemet til BIOS 
*UEFI-support kræver, at Sikker start er slået fra.
Dekomprimer redningssystemet: ( Windows-brugere skal bruge 7-zip
gunzip RESCUE32.img.gz
--eller--gunzip RESCUE64.img.gz
Overfør redningsbilledet til USB-nøglen.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? er USB-nøglens basisenhedsnode, intet nummer)
--eller--dd if=RESCUE64.img of=/dev/sd?
Windows: Brug Win32DiskImager fra sourceforge til at skrive billedet til USB-nøglen.
Start USB-flashdrevet med redningssystemet på. Du ser login-prompten, indtast root , der er ingen adgangskode, så du får en root shell-prompt.
ALLE nedenstående trin skal køres på RESCUE SYSTEM.
Test sedutil
Indtast kommandoen: sedutil-cli --scan
Forventet output:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Kontroller, at dit drev har en to i den anden kolonne, der angiver OPAL 2-understøttelse. Hvis det ikke fortsætter, er der noget, der forhindrer sedutil i at understøtte dit drev. Hvis du fortsætter, kan du slette alle data.
Test the PBA
Indtast kommandoen linuxpba og brug en adgangssætning til fejlfinding. Hvis du ikke bruger fejlfinding som adgangssætning, genstarter systemet.
Forventet output:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontroller, at dit drev er angivet, og at PBA rapporterer det som "er OPAL".
Udstedelse af kommandoerne i de følgende trin aktiverer OPAL-låsning. Hvis du har et problem, skal du følge trinnene i slutningen af denne side (Gendannelsesoplysninger
Følgende trin bruger /dev/sdc som enhed og UEFI64-1.15.img.gz for PBA-billedet skal du erstatte det korrekte /dev/sd? for dit drev og det korrekte PBA-navn for dit system.
Aktivér låsning og PBA
Indtast kommandoerne nedenfor: (Brug adgangskoden til fejlfinding til denne test, den ændres senere)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Erstatte n.nn med frigivelsesnummeret.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Erstatte n.nn med frigivelsesnummeret.
Forventet output:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Test PBA igen
Indtast kommandoen linuxpba, og brug en adgangssætning til fejlfinding.
Denne anden test bekræfter, at dit drev virkelig bliver låst op.
Forventet output:
#linuxpba
DTA LINUX Pre Boot Authorization
Indtast adgangssætning for at låse OPAL-drev op: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked <--- IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Kontroller, at PBA låser dit drev op, det skal sige "er OPAL låst op" Hvis det ikke gør det, skal du følge trinene i slutningen af denne side for enten at fjerne OPAL eller deaktivere låsning.
Indstil en rigtig adgangskode
SID- og Admin1-adgangskoderne behøver ikke at matche, men det gør tingene lettere.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Forventet output:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Sørg for, at du ikke har indtastet din adgangskode forkert ved at teste den.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Forventet output:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Dit drev i nu ved hjælp af OPAL-låsning.
Du skal nu SLUK SYSTEMET HELT.
Dette låser drevet, så når du genstarter dit system, starter det PBA.
Oplysninger om gendannelse:
Hvis der er et problem efter aktivering af låsning, kan du enten deaktivere låsning eller fjerne OPAL for at fortsætte med at bruge dit drev uden låsning.
Hvis du vil deaktivere Låsning og PBA:
sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>
Forventet output:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Du kan genaktivere låsning og PBA ved hjælp af denne kommandosekvens.
sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>
Forventet output:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Nogle OPAL-drev har et firmwareproblem, der sletter alle data, hvis du udsteder nedenstående kommandoer. Se Fjern Opal
For at fjerne OPAL skal du udstede disse kommandoer:
sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>
Forventet output:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: How To
Last Modified: 01 Aug 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.