Uw Ubuntu-besturingssysteem versleutelen met behulp van een SED harde schijf

Ubuntu versleutelen

Genomen uit: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Schakel de sluimerstand in

1. Open de terminal.

2. Typ het volgende om te controleren of het systeem in de slaapstand kan komen:

   # sudo systemctl hibernate

3. Als het werkt, kunt u de opdracht gebruiken om op verzoek in de slaapstand te komen of een bestand maken om de slaapstandoptie toe te voegen aan de menusystemen:
   
   scheppen /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Voeg het volgende toe aan het bestand en sla op:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Als de slaapstand niet werkt:

   Controleer of je swappartitie minstens zo groot is als je beschikbare RAM.
   
   Het is bewezen dat de slaapstand mislukt door de aanwezigheid van btrfs-partities, dus controleer of u geen btrfs-partities gebruikt. Naast het verwijderen of opnieuw formatteren van dergelijke partities, moet u mogelijk het btrfs-tools-pakket verwijderen:

   # sudo apt purge btrfs-tools

Schakel sedutil in door allow_tpm in te schakelen

Genomen uit: https://jorgenmodin.net/

U moet TPM inschakelen:

libata.allow_tpm=1

... moet worden toegevoegd aan de parameters van uw Grub.

In /etc/default/grub Dat betekent dat er een regel moet zijn die zoiets zegt als:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Werk vervolgens bij, larven en start opnieuw op.

# sudo update-grub

Uw schijf coderen

Genomen uit: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Bereid een opstartbaar reddingssysteem voor

Download het reddingssysteem voor het BIOS of de 64-bits UEFI-machine .

* UEFI-ondersteuning vereist dat Secure Boot is uitgeschakeld.
Decomprimeer het Rescue-systeem: ( Windows-gebruikers moeten 7-zip gebruiken)

gunzip RESCUE32.img.gz
--of--
gunzip RESCUE64.img.gz

Breng de Rescue-image over naar de USB-stick.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? is het knooppunt van het USB-stickbasisapparaat, geen nummer)
--of--
dd if=RESCUE64.img of=/dev/sd?

Windows: Gebruik Win32DiskImager van sourceforge om de image naar de USB-stick te schrijven.
Start de USB-stick op met het reddingssysteem erop. Je ziet de inlogprompt, voer root in, er is geen wachtwoord, dus je krijgt een root-shell-prompt.

ALLE onderstaande stappen moeten worden uitgevoerd op het RESCUE SYSTEM.

Test sedutil

Voer de opdracht in: sedutil-cli --scan

Verwachte output:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Controleer of uw schijf een twee heeft in de tweede kolom, wat aangeeft dat OPAL 2 wordt ondersteund. Als het niet verder gaat, is er iets dat verhindert dat sedutil uw schijf ondersteunt. Als u doorgaat, kunt u alle gegevens wissen.

De PBA testen

Voer de opdracht in linuxpba en gebruik een wachtwoordzin van debug. Als u debug niet als wachtwoordzin gebruikt, wordt het systeem opnieuw opgestart.

Verwachte output:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Controleer of uw schijf in de lijst staat en of de PBA deze meldt als 'is OPAL'.

Als u de opdrachten in de volgende stappen geeft, wordt OPAL-vergrendeling ingeschakeld. Als u een probleem ondervindt, moet u de stappen aan het einde van deze pagina (Herstelgegevens ) volgen om de OPAL-vergrendeling uit te schakelen of te verwijderen.

In de volgende stappen wordt /dev/sdc gebruikt als het apparaat en UEFI64-1.15.img.gz voor de PBA-afbeelding, vervang de juiste /dev/sd? voor uw schijf en de juiste PBA-naam voor uw systeem.

Vergrendeling en de PBA inschakelen

Voer de onderstaande opdrachten in: (Gebruik het wachtwoord van debug voor deze test, het wordt later gewijzigd)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Vervangen n.nn met het releasenummer.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Vervangen n.nn met het releasenummer.

Verwachte output:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Test de PBA opnieuw

Voer de opdracht linuxpba in, en gebruik een wachtwoordzin van debug.
Deze tweede test controleert of uw schijf echt ontgrendeld wordt.

Verwachte output:

#linuxpba

DTA LINUX autorisatie voor het opstarten Voer

een wachtwoordzin in om OPAL-stations te ontgrendelen: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    <--- IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Controleer of de PBA uw schijf ontgrendelt, er zou moeten staan "is OPAL ontgrendeld" Als dit niet het geval is, moet u de stappen aan het einde van deze pagina volgen om OPAL te verwijderen of vergrendeling uit te schakelen.

Stel een echt wachtwoord in

De SID- en Admin1-wachtwoorden hoeven niet overeen te komen, maar het maakt het gemakkelijker.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Verwachte output:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Controleer of u uw wachtwoord niet verkeerd hebt getypt door het te testen.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Verwachte output:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Uw schijf wordt nu ingeschakeld met OPAL-vergrendeling.
U moet nu uw systeem VOLLEDIG UITSCHAKELEN.
Hierdoor wordt de schijf vergrendeld, zodat wanneer u uw systeem opnieuw opstart, de PBA wordt opgestart.

Herstelgegevens:

Als er een probleem optreedt na het inschakelen van vergrendeling, kunt u vergrendeling uitschakelen of OPAL verwijderen om uw schijf te blijven gebruiken zonder te vergrendelen.

Ga als volgt te werk om vergrendeling en de PBA uit te schakelen:

sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>

Verwachte output:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

U kunt de vergrendeling en de PBA opnieuw inschakelen met behulp van deze opdrachtvolgorde.

sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>

Verwachte output:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Sommige OPAL-schijven hebben een firmwareprobleem waardoor alle data worden gewist als u de onderstaande opdrachten geeft. Zie Remove Opal voor een lijst met schijf-/firmwareparen waarvan bekend is dat deze zijn getest.

Voer deze opdrachten uit om OPAL te verwijderen:

sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>

Verwachte output:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Terug naar boven