Article Number: 000132842
Ubuntu-käyttöjärjestelmän salaaminen SED-kiintolevyn avulla
Summary: Dellin best effort -opas Ubuntu-käyttöjärjestelmän salaamiseen käytettäessä itsesalaavaa kiintolevyä.
Article Content
Symptoms
Ubuntun salaaminen
Varoitus: Dell ei virallisesti tue Linux Encryptionia. Tämä opas on saatavilla tietojasi varten. Dell ei voi auttaa vianmäärityksessä tai Ubuntun määrittämisessä käyttämään laitteiston itsesalaavia asemia.
Otettu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Enable Hibernation
-
Avaa pääte.
-
Tarkista, pystyykö järjestelmä horrostilaan, kirjoittamalla seuraavasti:
# sudo systemctl hibernate -
Jos se toimii, voit käyttää komentoa horrostilaan siirrymiseksi tarvittaessa tai luoda tiedoston, joka lisää horrostila-asetuksen valikkojärjestelmiin:
luo ./etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pklaLisää tiedostoon seuraavat tiedostot ja tallenna:
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Jos horrostila ei toimi:
Tarkista, onko sivutusosio vähintään yhtä suuri kuin käytettävissä oleva RAM-muisti.
Btrfs-osioiden olemassaolo on mahdollistanut horrostilan epäonnistumisen, joten tarkista, ettet käytä btrfs-osioita. Tällaisten osioiden poistamisen tai alustamisen lisäksi btrfs-työkalupaketti on ehkä poistettava:# sudo apt purge btrfs-tools
Ota sedutil käyttöön ottamalla käyttöön allow_tpm
Otettu: http://jorgenmodin.net/
Ota TPM käyttöön:
libata.allow_tpm=1
... on lisättävä Grub-parametrien mukaan.
Tämä /etc/default/grub tarkoittaa, että on oltava rivi, jossa lukee jotain tällaista:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Päivitä grub ja käynnistä järjestelmä uudelleen.
# sudo update-grub
Aseman salaaminen
Otettu: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Varoitus: Muiden kuin us_english näppäimistöjen käyttäjät:
sekä PBA että pelastusjärjestelmät käyttävät us_english näppäimistöä. Tämä voi aiheuttaa ongelmia, kun määrität salasanaa normaalissa käyttöjärjestelmässä, jos käytät jotakin toista näppäimistökarttaa. Jos haluat varmistaa, että PBA tunnistaa salasanasi, suosittelemme asentamaan kiintolevyn pelastusjärjestelmästä tällä sivulla kuvatulla tavalla.
sekä PBA että pelastusjärjestelmät käyttävät us_english näppäimistöä. Tämä voi aiheuttaa ongelmia, kun määrität salasanaa normaalissa käyttöjärjestelmässä, jos käytät jotakin toista näppäimistökarttaa. Jos haluat varmistaa, että PBA tunnistaa salasanasi, suosittelemme asentamaan kiintolevyn pelastusjärjestelmästä tällä sivulla kuvatulla tavalla.
Cause
Käynnistettävän pelastusjärjestelmän valmisteleminen
Lataa BIOSin tai 64-bittisen UEFI-laitteen 
* UEFI-tuki edellyttää, että Secure Boot on poissa käytöstä.
Pura pelastusjärjestelmä: ( Windows-käyttäjien on käytettävä 7-zip-tiedostoa
gunzip RESCUE32.img.gz
--or-Transfer Rescue-näköistiedostogunzip RESCUE64.img.gz
USB-muistitikulle.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? on USB-muistitikun peruslaitesolmu, ei numeroa)
--tai--dd if=RESCUE64.img of=/dev/sd?
Windows: Kirjoita näköistiedosto USB-muistitikulle Sourceforgen Win32DiskImager-näppäimellä.
Käynnistä USB-muistitikku, jossa on pelastusjärjestelmä. Näet kirjautumiskehotteen. Kirjoita pääkäyttäjänä ei ole salasanaa, joten saat komentotulkin pääkehotteen.
TEE KAIKKI ALLA olevat toimet RESCUE-järjestelmässä.
Testi sedutil
Kirjoita komento: sedutil-cli --scan
Expected Output:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Verify that your drive has a two in the second column,dicating OPAL 2 support. Jos ongelma ei jatku, jokin estää levyä tukemasta asemaa. Jos jatkat, voit poistaa kaikki tiedot.
Testaa PBA
Kirjoita komento linuxpba ja käytä virheenkorjauksen salasanaa. Jos et käytä virheenkorjausta salasanana, järjestelmä käynnistyy uudelleen.
Odotettu tulos:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Varmista, että asema on luettelossa ja että PBA ilmoittaa sen olevan OPAL.
Kun komennot annetaan vaiheittain, OPAL-lukitus on mahdollista. Jos ongelma ilmenee, poista OPAL-lukitus
käytöstä tai poista se noudattamalla sivun lopussa olevia ohjeita (palautustiedotUEFI64-1.15.img.gz PBA-näköistiedostoa varten. Korvaa /dev/sd? oikea asema ja järjestelmän PBA-nimi.
Resolution
Ota lukitus käyttöön ja PBA
Kirjoita seuraavat komennot: (Käytä tässä testissä virheenkorjauksen salasanaa, se vaihdetaan myöhemmin)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz Korvaa n.nn versionumerolla.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Korvaa n.nn versionumerolla.
Odotettu tulos:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Testaa PBA uudelleen
Kirjoita komento linuxpba ja käytä virheenkorjauksen salasanaa.
Tämä toinen testi varmistaa, että asemasi todella avautuu.
Odotettu tulos:
#linuxpba
DTA LINUX Pre Boot Authorization
-salasana OPAL-asemien lukituksen avaamista varten: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Tarkista, että PBA avaa aseman, ja siinä pitäisi näkyä teksti "is OPAL Unlocked" (ON OPAL-lukituksen poisto) Jos niin ei ole, poista OPAL käytöstä tai poista lukitus käytöstä noudattamalla sivun lopussa olevia ohjeita.
Määritä todellinen salasana
SID- ja Admin1-salasanojen ei tarvitse täsmätä, mutta ne helpottavat tilannetta.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Odotettu tulos:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Varmista testaamalla, että salasanasi ei ollut virheellinen.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Odotettu tulos:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Asema on nyt käytössä OPAL-lukituksen avulla.
SAMMUTA JÄRJESTELMÄ KOKONAAN.
Tämä lukitsee aseman niin, että kun käynnistät järjestelmän uudelleen, PBA käynnistyy.
Palautustiedot:
Jos lukittumisen käyttöönoton jälkeen ilmenee ongelma, voit joko poistaa lukituksen käytöstä tai poistaa OPAL-toiminnon jatkaaksesi aseman käyttöä lukitsematta.
Jos haluat poistaa lukituksen ja PBA:n käytöstä:
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
Odotettu tulos:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Tällä komentosarjalla voit ottaa lukituksen ja PBA:n uudelleen käyttöön.
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
Odotettu tulos:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Joissakin OPAL-asemissa on laiteohjelmistovika, joka poistaa kaikki tiedot, jos käytät seuraavia komentoja. Tarkista testatut asema-/laiteohjelmistoparit kohdasta Remove Opal
POISTA OPAL seuraavasti:
sedutil-cli --revertnoerase
sedutil-cli --reverttper
Odotettu tulos:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Article Properties
Affected Product
Security, Software
Last Published Date
21 Aug 2023
Version
6
Article Type
Solution