Kryptering af Ubuntu-operativsystemet ved hjælp af en SED-harddisk

Kryptering af Ubuntu

Taget fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Enable Hibernation

1. Åbn terminalen.

2. Skriv følgende for at kontrollere, om systemet kan gå i dvaletilstand:

   # sudo systemctl hibernate

3. Hvis det virker, kan du enten bruge kommandoen til at gå i dvaletilstand efter behov eller oprette en fil til at føje dvaleindstillingen til menusystemerne:
   
   opret /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Føj følgende til filen, og gem:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Hvis dvaletilstanden ikke virker:

   Kontroller, om din swappartition er mindst lige så stor som din tilgængelige RAM.
   
   Tilstedeværelsen af btrfs-partitioner har vist sig at få dvaletilstanden til at mislykkes, så kontrollér, at du ikke bruger btrfs-partitioner. Ud over at fjerne eller omformatere sådanne partitioner kan det være nødvendigt at fjerne btrfs-værktøjspakken:

   # sudo apt purge btrfs-tools

Gør det muligt for sedutil at fungere ved at aktivere allow_tpm

Taget fra: http://jorgenmodin.net/

Du skal aktivere TPM:

libata.allow_tpm=1

... skal føjes til grub-parametrene.

Det /etc/default/grub betyder, at der skal være en linje, der siger noget i stil med dette:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Opdater derefter grub, og genstart.

# sudo update-grub

Kryptering af dit drev

Taget fra: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Klargør et redningssystem, der kan startes fra

Download redningssystemet til BIOS eller 64-bit UEFI-maskinen .

* UEFI-support kræver, at Secure Boot er slået fra.
Dekomprimer redningssystemet: ( Windows-brugere skal bruge 7-zip )

gunzip RESCUE32.img.gz
--eller-Overfør

gunzip RESCUE64.img.gz
gendannelsesbilledet til USB-nøglen.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? er USB Stick-basisenhedsnoden, intet nummer)
--eller--
dd if=RESCUE64.img of=/dev/sd?

Windows: Brug Win32Diskimager fra kildeforge til at skrive billedet til USB-nøglen.
Start USB-flashdrevet med redningssystemet på det. Du kan se loginprompten, indtast root . Der er ingen adgangskode, så du får en root shell-prompt.

ALLE trin herunder skal køres på REDNINGSSYSTEMET.

Test sedutil

Indtast kommandoen: sedutil-cli --scan

Forventet output:


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
Kontroller, at drevet har et to i den anden kolonne, der angiver understøttelse af OPAL 2. Hvis det ikke fortsætter, er der noget, der forhindrer sedutil i at understøtte dit drev. Hvis du fortsætter, kan du slette alle data.

Test PBA'en

Indtast kommandoen linuxpba , og brug en bestået udtryk for fejlfinding. Hvis du ikke bruger fejlfinding som pass-phrase, genstarter systemet.

Forventet output:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontroller, at drevet er angivet, og at PBA rapporterer det til "er OPAL".

Når du udsteder kommandoerne i de efterfølgende trin, aktiveres OPAL-låsning. Hvis du har et problem, skal du følge trinene i slutningen af denne side (gendannelsesoplysninger ) for enten at deaktivere eller fjerne OPAL-låsning.

De følgende trin bruger /dev/sdc som enhed og UEFI64-1.15.img.gz til PBA-billedet, og erstatter den korrekte /dev/sd? for dit drev og det korrekte PBA-navn for dit system.

Tilbage til toppen

Aktiver låsning og PBA

Indtast kommandoerne nedenfor: (Brug adgangskoden til fejlfinding til denne test, den ændres senere)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Udskift n.nn med udgivelsesnummeret.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Udskift n.nn med udgivelsesnummeret.

Forventet output:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Test PBA'en igen

Indtast kommandoen linuxpba, og brug en pass-phrase af fejlfinding.
Denne anden test bekræfter, at dit drev virkelig låses op.

Forventet output:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase for at låse OPAL-drev op: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Kontroller, at PBA låser dit drev op. Der bør stå "er OPAL-oplåst". Hvis den ikke gør det, skal du følge trinene i slutningen af denne side for enten at fjerne OPAL eller deaktivere låsning.

Indstil en reel adgangskode

SID- og Admin1-adgangskoder behøver ikke at stemme overens, men det gør tingene nemmere.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Forventet output:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Sørg for, at du ikke har indtastet din adgangskode forkert ved at teste den.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Forventet output:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Dit drev er nu i brug af OPAL-låsning.
Du skal nu LUKKE SYSTEMET HELT NED.
Dette låser drevet, så det starter PBA'en, når du genstarter systemet.

Gendannelsesoplysninger:

Hvis der er et problem efter aktivering af låsning, kan du enten deaktivere låsning eller fjerne OPAL for at fortsætte med at bruge dit drev uden at låse.

Hvis du vil deaktivere låsning og PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Forventet output:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Du kan genaktivere låsning og PBA ved hjælp af denne kommandosekvens.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Forventet output:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Nogle OPAL-drev har en firmwarefejl, der sletter alle data, hvis du udsteder nedenstående kommandoer. Se Fjern Opal for at få en liste over drev-/firmwarepar, der ved, at de er blevet testet.

For at fjerne OPAL skal du udstede disse kommandoer:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Forventet output:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Tilbage til toppen