SED Özellikli Sabit Sürücü Kullanarak Ubuntu İşletim Sisteminizi Şifreleme

Ubuntu'yu Şifreleme

Kaynak Sayfa: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Hazırda Bekletme Özelliğini Etkinleştirme

1. Terminali açın.

2. Sistemin hazırda bekletme özelliğini destekleyip desteklemediğini doğrulamak için aşağıdaki komutu girin:

   # sudo systemctl hibernate

3. Hazırda bekletme çalışıyorsa ya komut yardımıyla hazırda bekletme modunu isteğe bağlı olarak kullanabilir ya da menü sistemlerine hazırda bekletme seçeneğini eklemek için bir dosya oluşturabilirsiniz:
   
   yaratmak /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Dosyaya aşağıdakileri ekleyin ve kaydedin:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Hazırda bekletme çalışmıyorsa:

   Swap (Takas) bölümünüzün, en azından kullanılabilir RAM'inizin boyutunda olup olmadığını kontrol edin.
   
   Btrfs bölümlerinin varlığının, hazırda bekletmenin başarısız olmasına yol açtığı kanıtlanmıştır; bu nedenle herhangi bir btrfs bölümü kullanmadığınızdan emin olun. Bu tür bölümleri kaldırmanın veya yeniden biçimlendirmenin yanı sıra btrfs-tools paketini kaldırmanız da gerekebilir:

   # sudo apt purge btrfs-tools

Sedutil yardımcı programının çalışması için allow_tpm özelliğini etkinleştirme

Alınan: https://jorgenmodin.net/

TPM'yi etkinleştirmeniz gerekir:

libata.allow_tpm=1

...komutu Grub parametrelerinize eklenmelidir.

İçinde /etc/default/grub Bu, şöyle bir şey söyleyen bir satır olması gerektiği anlamına gelir:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Ardından grub'u güncelleştirin ve yeniden başlatın.

# sudo update-grub

Sürücünüzü Şifreleme

Kaynak Sayfa: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Önyüklenebilir Kurtarma Sistemi Hazırlama

BIOS veya 64 bit UEFI makinesi için kurtarma sistemini indirin.

* UEFI desteği için Güvenli Önyükleme özelliğinin kapatılması gerekir.
Kurtarma sistemi sıkıştırılmış dosyasını açın: (Windows kullanıcıları 7-zip uygulamasını kullanmalıdır.)

gunzip RESCUE32.img.gz
--veya--
gunzip RESCUE64.img.gz

Kurtarma görüntüsünü USB belleğe aktarın.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? USB bellek temel aygıt düğümüdür, numara yok)
--veya--
dd if=RESCUE64.img of=/dev/sd?

Windows: Görüntüyü USB çubuğuna yazması için SourceForge'daki Win32DiskImager'ı kullanın.
Kurtarma sistemini içeren USB flash sürücüsünü önyükleyin. Oturum açma istemini gördüğünüzde root yazın; parola olmadığından root shell istemi alırsınız.

Aşağıdaki TÜM adımlar KURTARMA SİSTEMİNDE uygulanmalıdır.

Test sedutil

Şu komutu girin: sedutil-cli --scan

Beklenen Çıktı:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Sürücünüzün ikinci sütunda OPAL 2 desteğini gösteren iki rakamı olduğunu doğrulayın. Değer mevcut değilse işleme devam etmeyin; sedutil yardımcı programının sürücünüzü desteklemesini engelleyen bir sorun vardır. Devam ederseniz tüm veriler silinebilir.

PBA'yı test etme

Komutu girin linuxpba ve debug parolasını kullanın. Parola olarak debug ifadesini kullanmazsanız sisteminiz yeniden başlatılır.

Beklenen Çıktı:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Sürücünüzün listelenmiş olduğunu ve PBA'nın bu sürücüyü "OPAL" olarak raporladığını doğrulayın.

Bundan sonraki adımlarda verilen komutların çalıştırılması OPAL kilitlemesini etkinleştirecektir. Bir sorunla karşılaşırsanız OPAL kilitlemeyi devre dışı bırakmak veya kaldırmak için bu sayfanın sonundaki (Kurtarma Bilgileri ) adımları izlemeniz gerekir.

Aşağıdaki adımlarda aygıt olarak /dev/sdc kullanılır ve UEFI64-1.15.img.gz PBA görüntüsü için uygun /dev/sd? sürücünüz ve sisteminiz için uygun PBA adı.

Kilitlemeyi ve PBA'yı etkinleştirme

Aşağıdaki komutları girin: (Bu test için parola olarak debug ifadesini kullanın; parolayı daha sonra değiştireceksiniz)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz <-- Değiştirmek n.nn sürüm numarası ile.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc <-- Değiştirmek n.nn sürüm numarası ile.

Beklenen Çıktı:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

PBA'yı tekrar test etme

linuxpba komutunu girin ve parola olarak debug ifadesini kullanın.
Bu ikinci test, sürücünüzün kilidinin gerçekten açılıp açılmadığını doğrular.

Beklenen Çıktı:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    <--- IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

PBA'nın sürücünüzün kilidini açtığını doğrulayın; "is OPAL Unlocked" mesajı mevcutsa sürücünün kilidi açılmıştır. Aksi takdirde OPAL'yi kaldırmak veya kilitlemeyi devre dışı bırakmak için bu sayfanın sonundaki adımları izlemeniz gerekir.

Gerçek Parola Ayarlama

SID ve Admin1 parolalarının eşleşmesi zorunlu değildir ancak işleri daha da kolaylaştırır.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Beklenen Çıktı:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Parolanızı test ederek yanlış yazmadığınızdan emin olun.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Beklenen Çıktı:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Sürücünüz artık OPAL kilitlemeyi kullanıyor.
Şimdi SİSTEMİNİZİ TAMAMEN KAPATMALISINIZ.
Bu işlem sürücüyü kilitler, böylece sisteminizi yeniden başlattığınızda PBA'yı başlatır.

Kurtarma Bilgileri:

Kilitlemeyi etkinleştirdikten sonra bir sorunla karşılaşırsanız sürücünüzü kilitlemeden kullanmaya devam etmek için kilitlemeyi devre dışı bırakabilir ya da OPAL'yi kaldırabilirsiniz.

Kilitlemeyi ve PBA'yı devre dışı bırakmak istiyorsanız:

sedutil-cli -–disableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable off <password> <drive>

Beklenen Çıktı:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Bu komut sırasını kullanarak kilitlemeyi ve PBA'yı yeniden etkinleştirebilirsiniz.

sedutil-cli -–enableLockingRange 0 <password> <drive>
sedutil-cli –-setMBREnable on <password> <drive>

Beklenen Çıktı:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Bazı OPAL sürücülerinde, aşağıdaki komutları verdiğinizde tüm verilerin silinmesine neden olan bir bellenim sorunu vardır. Test edilmiş sürücü/bellenim çiftlerinin listesi için Remove opal (Opal'yi kaldırma) sayfasını inceleyin.

OPAL'yi kaldırmak için şu komutları girin:

sedutil-cli --revertnoerase <password> <drive>
sedutil-cli --reverttper <password> <drive>

Beklenen Çıktı:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Başa Dön