Crittografia del sistema operativo Ubuntu utilizzando un disco rigido SED

Crittografia di Ubuntu

Tratto da: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Abilitare l'ibernazione

1. Aprire il terminale.

2. Digitare quanto segue per verificare se il sistema è in grado di entrare in stato di ibernazione:

   # sudo systemctl hibernate

3. Se funziona, è possibile utilizzare il comando per mettere in stato di ibernazione on-demand o creare un file per aggiungere l'opzione di ibernazione ai sistemi di menu:
   
   creare /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Aggiungere i seguenti elementi al file e salvare:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Se l'ibernazione non funziona:

   Verificare che la partizione di swap sia grande almeno quanto la RAM disponibile.
   
   La presenza di partizioni btrfs impedisce l'ibernazione, quindi verificare che non si utilizzino partizioni btrfs. Oltre alla rimozione o alla riformattazione di tali partizioni, potrebbe essere necessario rimuovere il pacchetto btrfs-tools:

   # sudo apt purge btrfs-tools

Consentire a sedutil di funzionare abilitando allow_tpm

Tratto da: http://jorgenmodin.net/

È necessario abilitare il TPM:

libata.allow_tpm=1

... deve essere aggiunto ai parametri di Grub.

In /etc/default/grub che significa che dovrebbe esserci una riga che indica qualcosa di simile a questo:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Quindi aggiornare grub e riavviare.

# sudo update-grub

Crittografia dell'unità

Tratto da: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Preparazione di un sistema di ripristino avviabile

Scaricare il sistema di ripristino per il BIOS o per UEFI a 64 bit.

*Il supporto UEFI richiede che l'avvio protetto sia disattivato.
Decomprimere il sistema di ripristino: (gli utenti Windows devono utilizzare 7-zip )

gunzip RESCUE32.img.gz
--or--
gunzip RESCUE64.img.gz

Trasferire l'immagini di ripristino sulla chiavetta USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? è il nodo del dispositivo di base della chiavetta USB, nessun numero)
--oppure--
dd if=RESCUE64.img of=/dev/sd?

Windows: Utilizzare Win32DiskImager da sourceforge per scrivere l'immagine sulla chiavetta USB.
Avviare la chiavetta USB con il sistema di ripristino. Viene visualizzata la richiesta di accesso, immettere root senza password in modo da ottenere un prompt della shell root.

TUTTI i passaggi riportati di seguito devono essere eseguiti sul SISTEMA DI RIPRISTINO.

Testare sedutil

Immettere il comando: sedutil-cli --scan

Output previsto:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Verificare che l'unità mostri un due nella seconda colonna indicando il supporto OPAL 2. Se non si procede, è presente qualcosa che impedisce al servizio di supportare l'unità. Se si continua, è possibile cancellare tutti i dati.

Testare PBA

Immettere il comando linuxpba e utilizzare una passphrase di debug. Se non si utilizza il debug come passphrase il sistema si riavvia.

Output previsto:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verificare che l'unità sia elencata e che PBA la segnali come "is OPAL".

L'inserimento dei comandi indicati nella procedura riportata di seguito attiverà il blocco OPAL. Se si verifica un problema, è necessario seguire la procedura alla fine di questa pagina (Informazioni sul ripristino ) per disabilitare o rimuovere il blocco OPAL.

La procedura seguente utilizza /dev/sdc come dispositivo eUEFI64-1.15.img.gz per l'immagine PBA, sostituire con l'unità /dev/sd? e il nome PBA appropriati per il sistema.

Torna all'inizio

Abilitare il blocco e PBA

Immettere i comandi riportati di seguito: (utilizzare la password di debug per questo test, che viene modificata in seguito)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Sostituire n.nn con il numero della versione.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Sostituire n.nn con il numero di versione.

Output previsto:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testare nuovamente PBA

Immettere il comando linuxpba e utilizzare una passphrase di debug.
Questo secondo test verifica che l'unità venga effettivamente sbloccata.

Output previsto:

#linuxpba

DTA LINUX Pre Boot Authorization

Inserire la passphrase per sbloccare le unità OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verificare che PBA sblocchi l'unità. In caso contrario, è necessario seguire i passaggi alla fine di questa pagina per rimuovere OPAL o disabilitare il blocco.

Impostare una password reale

Le password SID e Admin1 non devono corrispondere, ma semplificano le cose.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Output previsto:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Assicurarsi di non digitare in modo errato la password eseguendo il test.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Output previsto:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

L'unità ora utilizza il blocco OPAL.
Ora è necessario SPEGNERE COMPLETAMENTE IL SISTEMA.
In questo modo si blocca l'unità in modo che, quando si riavvia il sistema, venga avviato PBA.

Informazioni sul ripristino:

Se si verifica un problema dopo l'attivazione del blocco, è possibile disabilitare il blocco o rimuovere OPAL per continuare a utilizzare l'unità senza il blocco.

Se si desidera disabilitare il blocco e PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Output previsto:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

È possibile abilitare nuovamente il blocco e PBA utilizzando questa sequenza di comandi.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Output previsto:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Alcune unità OPAL presentano un bug del firmware che cancella tutti i dati se si eseguono i comandi riportati di seguito. Consultare rimuovere opal per un elenco delle coppie di unità/firmware note per essere state testate.

Per rimuovere OPAL, eseguire questi comandi:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Output previsto:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Torna all'inizio