Szyfrowanie systemu operacyjnego Ubuntu przy użyciu dysku twardego SED

Szyfrowanie systemu Ubuntu

Pobrano z: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Włączanie hibernacji

1. Otwórz terminal.

2. Wpisz poniższe polecenie, aby sprawdzić, czy system może przejść w stan hibernacji:

   # sudo systemctl hibernate

3. Jeśli to zadziała, możesz użyć polecenia hibernacji na żądanie lub utworzyć plik, aby dodać opcję hibernacji do menu systemu:
   
   utwórz /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Dodaj następujące elementy do pliku i zapisz:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Jeśli hibernacja nie działa:

   Sprawdź, czy partycja wymiany jest co najmniej tak duża jak dostępna pamięć RAM.
   
   Obecność partycji btrfs okazała się powodować niepowodzenie hibernacji, więc sprawdź, czy nie używasz żadnych partycji btrfs. Oprócz usunięcia lub sformatowania takich partycji konieczne może być usunięcie pakietu btrfs-tools:

   # sudo apt purge btrfs-tools

Włącz sedutil, aby działał, włączając allow_tpm

Pobrano z: http://jorgenmodin.net/

Należy włączyć moduł TPM:

libata.allow_tpm=1

...należy dodać do parametrów Grub.

W /etc/default/grub oznacza to, że powinien istnieć wiersz, który mówi coś takiego:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Następnie zaktualizuj grub i uruchom ponownie komputer.

# sudo update-grub

Szyfrowanie dysku

Pobrano z: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Przygotowanie startowego systemu ratunkowego

Pobierz system ratunkowy dla komputera z systemem BIOS lub 64-bitowym UEFI .

* Obsługa UEFI wymaga wyłączenia funkcji Secure Boot.
Dekompresja systemu ratunkowego: (Użytkownicy systemu Windows muszą skorzystać z programu 7-zip )

gunzip RESCUE32.img.gz
--lub--
gunzip RESCUE64.img.gz

Przenieś obraz ratunkowy do pamięci USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? to węzeł urządzenia bazowego pamięci USB, bez numeru)
--lub--
dd if=RESCUE64.img of=/dev/sd?

Windows: Użyj win32DiskImager z sourceforge, aby zapisać obraz na nośniku USB.
Uruchom pamięć USB z systemem ratunkowym. Pojawi się okno logowania, wpisz root, nie ma hasła, więc pojawi się okno powłoki root.

WSZYSTKIE poniższe kroki należy wykonać w SYSTEMIE RATUNKOWYM.

Test sedutil

Wprowadź polecenie: sedutil-cli --scan

Oczekiwany wynik:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Upewnij się, że Twój napęd ma dwójkę w drugiej kolumnie wskazującej na obsługę OPAL 2. Jeśli tak nie jest, coś uniemożliwia sedutil obsługę dysku. Kontynuowanie może spowodować usunięcie wszystkich danych.

Test PBA

Wprowadź polecenie linuxpba i użyj hasła debugowania. Jeśli nie użyjesz debugowania jako hasła, system uruchomi się ponownie.

Oczekiwany wynik:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Sprawdź, czy dysk znajduje się na liście, a PBA zgłasza go jako „OPAL”.

Wpisanie poleceń w kolejnych krokach spowoduje zablokowanie OPAL. Jeśli wystąpi problem, należy wykonać czynności opisane na końcu tej strony(Informacje o odzyskiwaniu ), aby wyłączyć lub usunąć blokadę OPAL.

W poniższych krokach jako urządzenia użyto /dev/sdc i UEFI64-1.15.img.gz dla obrazu PBA, zastępując właściwą nazwę /dev/sd? dla dysku i właściwą nazwę PBA dla systemu.

Powrót do góry

Włączanie blokowania i PBA

Wprowadź poniższe polecenia: (Użyj hasła debugowania w tym teście, zostanie ono zmienione później)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Zastąp n.nn numerem wydania.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Zastąp n.nn numerem wydania.

Oczekiwany wynik:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Ponowny test PBA

Wprowadź polecenie linuxpbai użyj hasła debugowania.
Ten drugi test weryfikuje, czy dysk rzeczywiście został odblokowany.

Oczekiwany wynik:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Sprawdź, czy PBA odblokowuje dysk, powinien pojawić się komunikat „is OPAL Unlocked”. Jeśli tak nie jest, musisz wykonać kroki opisane na końcu tej strony, aby usunąć OPAL lub wyłączyć blokadę.

Ustawianie prawdziwego hasła

Hasła SID i Admin1 nie muszą się zgadzać, ale ułatwia to pracę.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Oczekiwany wynik:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Upewnij się, że nie wpisano błędnego hasła, testując je.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Oczekiwany wynik:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Dysk korzysta teraz z blokady OPAL.
Należy teraz CAŁKOWICIE WYŁĄCZYĆ SYSTEM.
Spowoduje to zablokowanie dysku, dzięki czemu po ponownym uruchomieniu systemu uruchomi się PBA.

Informacje o odzyskiwaniu:

Jeśli po włączeniu blokady wystąpi problem, można wyłączyć blokadę lub usunąć OPAL, aby kontynuować korzystanie z dysku bez blokady.

Jeśli chcesz wyłączyć blokadę i PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Oczekiwany wynik:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Za pomocą tej sekwencji poleceń można ponownie włączyć blokadę i PBA.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Oczekiwany wynik:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Niektóre dyski OPAL mają błąd w oprogramowaniu sprzętowym, który usuwa wszystkie dane po wydaniu poniższych poleceń. Zapoznaj się z artykułem usuwanie opal , aby uzyskać listę par dysk/oprogramowanie sprzętowe, o których wiadomo, że zostały przetestowane.

Aby usunąć OPAL, należy wydać następujące polecenia:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Oczekiwany wynik:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Powrót do góry