Šifrování operačního systému Ubuntu pomocí pevného disku SED

Šifrování systému Ubuntu

Převzato z webu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Povolte režim hibernace

1. Otevřete terminál.

2. Zadáním následujícího příkazu ověříte, zda systém může přejít do režimu hibernace:

   # sudo systemctl hibernate

3. Pokud ano, můžete pomocí příkazu přejít do režimu hibernace na vyžádání nebo vytvořit soubor a přidat do systémů nabídek možnost hibernace:
   
   Vytvořte soubor /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Do souboru přidejte následující položky a uložte ho:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Pokud režim hibernace nefunguje:

   Zkontrolujte, zda je odkládací oddíl alespoň tak velký jako dostupná paměť RAM.
   
   Bylo dokázáno, že přítomnost oddílů btrfs způsobuje selhání hibernace. Zkontrolujte tedy, že nepoužíváte žádné oddíly btrfs. Kromě odebrání nebo přeformátování těchto oddílů může být nutné odebrat balíček btrfs-tools:

   # sudo apt purge btrfs-tools

Povolte nástroj sedutil povolením možnosti allow_tpm

Převzato z webu: http://jorgenmodin.net/

Je nutné povolit čip TPM:

Do parametrů zavaděče Grub je nutné přidat část libata.allow_tpm=1.

V umístění /etc/default/grub by měl být řádek, který uvádí něco podobného:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Poté aktualizujte zavaděč GRUB a restartujte počítač.

# sudo update-grub

Šifrování disku

Převzato z webu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Příprava spustitelného záchranného systému

Stáhněte si záchranný systém pro systém BIOS nebo počítač s 64bitovým rozhraním UEFI .

* Podpora rozhraní UEFI vyžaduje vypnutí možnosti Secure Boot.
Dekomprimujte záchranný systém: (Uživatelé systému Windows musí použít nástroj 7-zip .)

gunzip RESCUE32.img.gz
--nebo--
gunzip RESCUE64.img.gz

Přeneste bitovou kopii záchranného systému na jednotku USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? je základní uzel zařízení jednotky USB, bez čísla)
--nebo--
dd if=RESCUE64.img of=/dev/sd?

Windows: K zápisu bitové kopie na jednotku USB použijte software Win32DiskImager z webu SourceForge.
Spusťte systém z jednotky USB se záchranným systémem. Po zobrazení výzvy k přihlášení zadejte root. Jelikož zde není nastavené žádné heslo, dostanete se do příkazového řádku uživatele root.

VŠECHNY níže uvedené kroky je třeba provést v ZÁCHRANNÉM SYSTÉMU.

Otestujte sedutil

Zadejte příkaz: sedutil-cli --scan

Očekávaný výstup:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Ověřte, zda má vaše jednotka ve druhém sloupci uvedenou číslovku 2, která značí podporu OPAL 2. Pokud tomu tak není, nepokračujte dál, jelikož něco brání nástroji sedutil v podpoře jednotky. Pokud budete pokračovat, můžete vymazat všechna data.

Otestujte prostředí PBA

Zadejte příkaz linuxpba a použijte přístupové heslo debug. Pokud jako heslo nepoužíváte debug, systém se restartuje.

Očekávaný výstup:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Ověřte, zda je jednotka uvedena v seznamu a zda ji prostředí PBA uvádí jako „is OPAL“.

Zadáním příkazů v následujících krocích povolíte uzamčení OPAL. Pokud máte problém, je nutné postupovat podle kroků na konci této stránky (Informace o obnovení ) a zakázat nebo odebrat uzamčení OPAL.

V následujících krocích použijte jako zařízení /dev/sdc a UEFI64-1.15.img.gz jako bitovou kopii PBA, nahraďte správnou část /dev/sd? vaší jednotkou a správný název PBA pro váš systém.

Zpět na začátek

Povolení uzamčení a prostředí PBA

Zadejte níže uvedené příkazy: (Pro tento test použijte heslo debug, později bude změněno.)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Část n.nn nahraďte číslem verze.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Část n.nn nahraďte číslem verze.

Očekávaný výstup:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Znovu otestujte prostředí PBA

Zadejte příkaz linuxpba a použijte heslo debug.
Tento druhý test ověřuje, zda se jednotka skutečně odemkne.

Očekávaný výstup:

#linuxpba

Ověření DTA LINUX před spuštěním

Zadejte heslo pro odemknutí jednotek OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Ověřte, zda prostředí PBA jednotku odemkne, měla by se zobrazit zpráva „is OPAL Unlocked“. Pokud tomu tak není, je nutné postupovat podle kroků na konci této stránky a odebrat OPAL nebo zakázat uzamčení.

Nastavte skutečné heslo

Hesla SID a Admin1 se nemusí shodovat, ale celý proces zjednodušují.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Očekávaný výstup:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Zkontrolujte, zda jste heslo nezadali chybně.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Očekávaný výstup:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Jednotka nyní používá uzamčení OPAL.
Nyní je nutné SYSTÉM ZCELA VYPNOUT.
Tím dojde k uzamčení jednotky, takže po restartování systému se spustí prostředí PBA.

Informace o obnovení:

Pokud po aktivaci uzamčení dojde k problému, můžete uzamčení zakázat nebo odebrat OPAL, aby bylo možné jednotku dále používat bez uzamčení.

Pokud chcete zakázat uzamčení a prostředí PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Očekávaný výstup:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Pomocí této sekvence příkazů je možné opět povolit uzamčení a prostředí PBA.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Očekávaný výstup:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Některé jednotky OPAL mají chybu firmwaru, která vymaže všechna data, pokud spustíte níže uvedené příkazy. Seznam otestovaných párů disků a firmwaru naleznete v části Odstranění specifikace OPAL .

Chcete-li odebrat specifikaci OPAL, zadejte následující příkazy:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Očekávaný výstup:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Zpět na začátek