Verschlüsseln eines Ubuntu-Betriebssystems mit einer SED-Festplatte

Verschlüsseln von Ubuntu

Entnommen aus: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Ruhezustand aktivieren

1. Öffnen Sie das Terminal.

2. Geben Sie Folgendes ein, um zu überprüfen, ob das System in den Ruhezustand wechseln kann:

   # sudo systemctl hibernate

3. Wenn dies funktioniert, können Sie entweder den Befehl verwenden, um nach Bedarf in den Ruhezustand zu wechseln, oder eine Datei erstellen, um die Ruhezustandsoption zu den Menüsystemen hinzuzufügen:
   
   Erstellen Sie /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Fügen Sie Folgendes zur Datei hinzu und speichern Sie:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Wenn der Ruhezustand nicht funktioniert:

   Überprüfen Sie, ob Ihre Swap-Partition mindestens so groß ist wie Ihr verfügbarer RAM.
   
   Es hat sich gezeigt, dass das Vorhandensein von btrfs-Partitionen den Ruhezustand verhindert. Stellen Sie daher sicher, dass Sie keine btrfs-Partitionen verwenden. Neben dem Entfernen oder Neuformatieren solcher Partitionen müssen Sie möglicherweise das Paket btrfs-Tools entfernen:

   # sudo apt purge btrfs-tools

Aktivieren Sie sedutil durch Aktivieren von allow_tpm

Entnommen aus: http://jorgenmodin.net/

Sie müssen TPM aktivieren:

libata.allow_tpm=1

… muss den GRUB-Parametern hinzugefügt werden.

In /etc/default/grub bedeutet das, dass es eine Zeile ähnlich der folgenden geben sollte:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Aktualisieren Sie dann GRUB und starten Sie neu.

# sudo update-grub

Verschlüsseln des Laufwerks

Entnommen aus: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Vorbereiten eines startfähigen Rescue-Systems

Laden Sie das Rescue-System für Computer mit BIOS oder 64-Bit-UEFI herunter.

* Die UEFI-Unterstützung erfordert, dass Secure Boot ausgeschaltet ist.
Entpacken Sie das Rescue-System: (Windows-NutzerInnen müssen 7-zip verwenden)

gunzip RESCUE32.img.gz
--oder--
gunzip RESCUE64.img.gz

Übertragen Sie das Rescue-Image auf den USB-Stick
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? ist der Basisgeräte-Node des USB-Stick, keine Nummer)
--oder--
dd if=RESCUE64.img of=/dev/sd?

Windows: Verwenden Sie Win32DiskImager von sourceforge, um das Image auf den USB-Stick zu schreiben.
Starten Sie den USB-Stick mit dem Rescue-System. Die Anmeldeaufforderung wird angezeigt. Geben Sie root ein. Es gibt kein Kennwort, sodass Sie eine Root-Shell-Eingabeaufforderung erhalten.

ALLE unten aufgeführten Schritte müssen auf dem RESCUE-SYSTEM ausgeführt werden.

Testen Sie sedutil

Geben Sie diesen Befehl ein: sedutil-cli --scan

Erwartete Ausgabe:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Überprüfen Sie, ob für Ihr Laufwerk „2“ in der zweiten Spalte aufgeführt wird, was auf OPAL 2-Unterstützung hinweist. Wenn der Vorgang nicht fortgesetzt wird, gibt es etwas, das verhindert, dass sedutil Ihr Laufwerk unterstützt. Wenn Sie fortfahren, könnten alle Daten gelöscht werden.

Testen Sie die PBA.

Geben Sie den Befehl linuxpba ein und verwenden Sie als Passphrase „debug“. Wenn Sie nicht „debug“ als Passphrase verwenden, wird das System neu gestartet.

Erwartete Ausgabe:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Überprüfen Sie, ob Ihr Laufwerk aufgelistet ist und dass die PBA es als „is OPAL“ meldet.

Wenn Sie die Befehle in den folgenden Schritten ausgeben, wird die OPAL-Sperre aktiviert. Wenn Sie ein Problem haben, müssen Sie die Schritte am Ende dieser Seite (Recovery-Informationen ) befolgen, um die OPAL-Sperrung zu deaktivieren oder zu entfernen.

Verwenden Sie in den folgenden Schritten /dev/sdc als Gerät und UEFI64-1.15.img.gz für das PBA-Image, ersetzen Sie /dev/sd? entsprechend durch Ihr Laufwerk und den richtigen PBA-Namen für Ihr System.

Zurück zum Anfang

Aktivieren der Sperre und der PBA

Geben Sie die folgenden Befehle ein: (Verwenden Sie das Kennwort „debug“ für diesen Test, es wird später geändert.)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Ersetzen Sie n.nn durch die Versionsnummer.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Ersetzen Sie n.nn durch die Versionsnummer.

Erwartete Ausgabe:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testen Sie die PBA erneut.

Geben Sie den Befehl linuxpba ein und verwenden Sie die Passphrase „debug“.
Dieser zweite Test überprüft, ob Ihr Laufwerk wirklich entsperrt wird.

Erwartete Ausgabe:

#linuxpba

DTA LINUX Pre Boot Authorization

Geben Sie die Passphrase ein, um OPAL-Laufwerke zu entsperren: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Stellen Sie sicher, dass die PBA Ihr Laufwerk entsperrt. Es sollte „is OPAL Unlocked“ angezeigt werden. Wenn dies nicht der Fall ist, müssen Sie die Schritte am Ende dieser Seite befolgen, um OPAL entweder zu entfernen oder die Sperre zu deaktivieren.

Festlegen eines echten Kennworts

Die SID- und Admin1-Kennwörter müssen nicht übereinstimmen, aber es erleichtert die Dinge.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Erwartete Ausgabe:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Stellen Sie sicher, dass Sie Ihr Kennwort nicht falsch eingegeben haben, indem Sie es testen.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Erwartete Ausgabe:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Ihr Laufwerk verwendet jetzt die OPAL-Sperre.
Sie müssen Ihr System jetzt VOLLSTÄNDIG AUSSCHALTEN.
Dadurch wird das Laufwerk gesperrt, sodass beim Neustart des Systems die PBA gestartet wird.

Recovery-Informationen:

Wenn nach der Aktivierung der Sperre ein Problem auftritt, können Sie entweder die Sperre deaktivieren oder OPAL entfernen, um die Verwendung Ihres Laufwerks ohne Sperre fortzusetzen.

Wenn Sie die Sperre und die PBA deaktivieren möchten:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Erwartete Ausgabe:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Sie können die Sperre und die PBA mit dieser Befehlssequenz erneut aktivieren.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Erwartete Ausgabe:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Einige OPAL-Laufwerke weisen einen Firmwarefehler auf, der alle Daten löscht, wenn Sie die folgenden Befehle ausführen. Eine Liste der Laufwerks-/Firmwarepaare, die getestet wurden, finden Sie unter Opal entfernen .

Um OPAL zu entfernen, führen Sie die folgenden Befehle aus:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Erwartete Ausgabe:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Zurück zum Anfang