Ressource : https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive (en anglais)
Activer la veille prolongée
Ouvrez le terminal.
Saisissez la commande suivante pour vérifier si le système peut être mis en veille prolongée :
# sudo systemctl hibernate
Si cela fonctionne, vous pouvez utiliser la commande pour mettre en veille prolongée à la demande ou créer un fichier pour ajouter l’option de veille prolongée aux systèmes de menus :
Créez /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla
. Ajoutez les éléments suivants au fichier et enregistrez :
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes
Si la veille prolongée ne fonctionne pas, procédez comme suit :
Vérifiez si votre partition d’échange est au moins aussi grande que votre RAM disponible.
Il a été prouvé que la présence de partitions btrfs entraîne l’échec de la veille prolongée. Par conséquent, vérifiez que vous n’utilisez pas de partitions btrfs. Outre le retrait ou le reformatage de ces partitions, vous devrez peut-être supprimer le package btrfs-tools :
# sudo apt purge btrfs-tools
Activer sedutil grâce à l’activation de allow_tpm
Ressources : http://jorgenmodin.net/ (en anglais)
Vous devez activer le module TPM :
libata.allow_tpm=1
... doit être ajouté aux paramètres de Grub.
Dans /etc/default/grub
, cela signifie qu’une ligne doit indiquer la mention suivante :
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Ensuite, mettez à jour Grub et redémarrez.
# sudo update-grub
Chiffrer votre disque
Ressource : https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive (en anglais)
Préparer un système de secours amorçable
Téléchargez le système de secours pour le BIOS ou la machine UEFI 64 bits .
* La prise en charge UEFI nécessite la désactivation de Secure Boot.
Décompressez le système de secours : (Les utilisateurs Windows doivent utiliser 7-zip )
gunzip RESCUE32.img.gz
--ou--gunzip RESCUE64.img.gz
Transférez l’image de secours sur la clé USB.
Linux : dd if=RESCUE32.img of=/dev/sd?
(/dev/sd?
est le nœud du périphérique de base de la clé USB, pas de numéro)
--ou--dd if=RESCUE64.img of=/dev/sd?
Windows : utilisez Win32DiskImager à partir de sourceforge pour écrire l’image sur la clé USB.
Démarrez la clé USB avec le système de secours sur celle-ci. L’invite de connexion s’affiche. Saisissez root. Il n’existe aucun mot de passe pour obtenir une invite root shell.
TOUTES les étapes ci-dessous doivent être exécutées sur le SYSTÈME DE SECOURS.
Testez sedutil
Saisissez la commande : sedutil-cli --scan
Résultat attendu :#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Vérifiez que votre disque indique le chiffre deux dans la deuxième colonne indiquant la prise en charge d’OPAL 2. Si le processus s’arrête, cela signifie que quelque chose empêche sedutil de prendre en charge votre disque. Si vous continuez, vous risquez d’effacer toutes les données.
Tester l’authentification avant démarrage
Saisissez la commande linuxpba
et utilisez une phrase secrète de débogage. Si vous n’utilisez pas le débogage comme phrase secrète, votre système redémarre.
Résultat attendu :#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Vérifiez que votre disque est répertorié et que l’authentification avant démarrage le signale comme étant « OPAL ».
L’émission des commandes dans les étapes suivantes permet d’activer le verrouillage OPAL. Si vous rencontrez un problème, vous devez suivre les étapes à la fin de cette page (Informations de récupération) pour désactiver ou supprimer le verrouillage OPAL.
Les étapes suivantes utilisent /dev/sdc en tant que périphérique et UEFI64-1.15.img.gz
pour l’image PBA, remplacez le bon /dev/sd?
par votre disque et le nom de l’authentification avant démarrage approprié par votre système.
Activer le verrouillage et l’authentification avant démarrage
Saisissez les commandes ci-dessous : (Utilisez le mot de passe de débogage pour ce test, il est modifié ultérieurement)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz Remplacez
n.nn
par le numéro de version.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Remplacez
n.nn
par le numéro de version.
Résultat attendu :
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Testez à nouveau l’authentification avant démarrage
Saisissez la commande linuxpba et utilisez une phrase secrète de débogage.
Ce deuxième test vérifie que votre disque est réellement déverrouillé.
Résultat attendu :
#linuxpba
Autorisation préalable au démarrage DTA LINUX
Saisissez la phrase secrète pour déverrouiller les disques OPAL : *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Vérifiez que l’authentification avant démarrage déverrouille votre disque. Le message « is OPAL Unlocked » doit s’afficher. Dans le cas contraire, vous devez suivre les étapes indiquées à la fin de cette page pour supprimer OPAL ou désactiver le verrouillage.
Définir un vrai mot de passe
Il n’est pas nécessaire que les mots de passe SID et Admin1 correspondent, mais cela facilite les choses.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Résultat attendu :
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Testez votre mot de passe pour vérifier que vous n’avez pas fait d’erreurs de saisie.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Résultat attendu :
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Votre disque est maintenant doté du verrouillage OPAL.
Vous devez maintenant METTRE VOTRE SYSTÈME COMPLÈTEMENT HORS TENSION.
Cela verrouille le disque de sorte que, lorsque vous redémarrez votre système, il démarre l’authentification avant démarrage.
Informations de récupération :
En cas de problème après l’activation du verrouillage, vous pouvez désactiver le verrouillage ou supprimer OPAL pour continuer à utiliser votre disque sans le verrouiller.
Si vous souhaitez désactiver le verrouillage et l’authentification avant démarrage :
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
Résultat attendu :
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Vous pouvez réactiver le verrouillage et l’authentification avant démarrage à l’aide de cette séquence de commandes.
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
Résultat attendu :
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Certains disques OPAL rencontrent un bug du firmware qui efface toutes les données si vous exécutez les commandes ci-dessous. Consultez la section Supprimer OPAL (en anglais) pour obtenir la liste des paires de disques/firmware qui ont été testées.
Pour supprimer OPAL, exécutez les commandes suivantes :
sedutil-cli --revertnoerase
sedutil-cli --reverttper
Résultat attendu :
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#