SEDハード ドライブを使用したUbuntuオペレーティング システムの暗号化
Summary: 自己暗号化ハード ドライブ使用時にUbuntu OSを暗号化するためのデル・テクノロジーズのベスト エフォート ガイド。
This article applies to
This article does not apply to
Symptoms
Ubuntuの暗号化
Warning: デル・テクノロジーズはLinux Encryptionを正式にサポートしていません。このガイドは、お客様のご参考のために提供するものです。デル・テクノロジーズは、ハードウェア自己暗号化ドライブを使用するためのトラブルシューティングやUbuntuのセットアップをサポートすることはできません。
引用元:https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
休止状態を有効にする
-
ターミナルを開きます。
-
次のように入力して、システムを休止状態にできるかどうかを確認します。
# sudo systemctl hibernate -
正常に作動する場合は、コマンドを使用してオン デマンドで休止状態にするか、ファイルを作成してメニュー システムに休止状態オプションを追加することができます。
/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pklaを作成します。作成したファイルに次を追加して、保存します。
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
休止状態が機能しない場合:
スワップ パーティションが使用可能なRAMと少なくとも同じ大きさであるかどうかを確認します。
btrfsパーティションの存在により、休止状態が失敗することが証明されているため、btrfsパーティションを使用していないかどうかを確認します。このようなパーティションを削除または再フォーマットする以外に、btrfs-toolsパッケージを削除する必要がある場合があります。# sudo apt purge btrfs-tools
allow_tpmを有効にしてsedutilを作動させる
TPMを有効にする必要があります。
libata.allow_tpm=1
...Grubのパラメーターに追加する必要があります。
つまり、/etc/default/grubの中に次のような行が存在する必要があります。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
次にgrubをアップデートして再起動します。
# sudo update-grub
ドライブの暗号化
引用元:https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Warning: 非us_englishキーボードのユーザー:
PBAとレスキュー システムの両方がus_englishキーボードを使用します。これにより、別のキーボード マッピングを使用する場合に、通常のオペレーティング システムでパスワードを設定するときに問題が発生する可能性があります。PBAがパスワードを認識していることを確認するには、このページの説明に従ってレスキュー システムからドライブをセットアップすることをお勧めします。
PBAとレスキュー システムの両方がus_englishキーボードを使用します。これにより、別のキーボード マッピングを使用する場合に、通常のオペレーティング システムでパスワードを設定するときに問題が発生する可能性があります。PBAがパスワードを認識していることを確認するには、このページの説明に従ってレスキュー システムからドライブをセットアップすることをお勧めします。
Cause
ブータブル レスキュー システムの準備
BIOS
* UEFIサポートでは、セキュア ブートをオフにする必要があります。
レスキュー システムを解凍します(Windowsユーザーは7-zip
gunzip RESCUE32.img.gz
--または--gunzip RESCUE64.img.gz
レスキュー イメージをUSBスティックに転送します。
Linux:dd if=RESCUE32.img of=/dev/sd?(/dev/sd?はUSBスティック ベース デバイス ノード、番号なし)
--または--dd if=RESCUE64.img of=/dev/sd?
Windowsの場合:sourceforgeからWin32DiskImagerを使用して、イメージをUSBスティックに書き込みます。
レスキュー システムを搭載したUSBサム ドライブを起動します。ログイン プロンプトが表示されたら、「root」と入力します。パスワードがないため、rootシェル プロンプトが表示されます。
以下のすべての手順は、レスキュー システムで実行する必要があります。
sedutilのテスト
次のコマンドを入力します。sedutil-cli --scan
予期される出力:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
ご使用のドライブの2番目の列に、OPAL 2のサポートを示す2があることを確認します。確認できない場合は続行しないでください。sedutilがドライブをサポートするのを妨げている何らかの問題があります。続行すると、すべてのデータを消去できます。
PBAのテスト
コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。パスフレーズとしてデバッグを使用しない場合は、システムが再起動します。
予期される出力:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
お使いのドライブがリストされていることと、PBAがドライブを「OPAL」として報告していることを確認します。
次の手順でコマンドを発行すると、OPALロックが有効になります。問題が発生した場合は、このページの最後にある手順(リカバリー情報
次の手順では、デバイスとして/dev/sdcを、PBAイメージにはUEFI64-1.15.img.gzを使用し、ドライブの適切な/dev/sd?とシステムの適切なPBA名を置き換えます。
Resolution
ロックとPBAを有効にする
次のコマンドを入力します(このテストではデバッグのパスワードを使用します。これは後で変更されます)。
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz n.nnをリリース番号に置き換えます。sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc n.nnをリリース番号に置き換えます。
予期される出力:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
再度PBAをテスト
コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。
この2番目のテストでは、ドライブが実際にアンロックされることを確認します。
予期される出力:
#linuxpba
DTA LINUX起動前認証
パスフレーズを入力してOPALドライブをアンロックします。 *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
PBAがドライブをアンロックしていることを確認します。「iS OPAL Unlocked」と表示されます。表示されない場合は、このページの最後にある手順に従ってOPALを削除するか、ロックを無効にする必要があります。
実際のパスワードの設定
SIDとAdmin1のパスワードは一致させる必要はありませんが、より簡単になります。
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
予期される出力:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
パスワードをテストして、入力に誤りがないことを確認します。
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
予期される出力:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
これで、ドライブでOPALロックが使用されるようになりました。
次にシステムの電源を完全に切る必要があります。
これによりドライブがロックされ、システムを再起動するとPBAが起動します。
リカバリー情報:
ロックを有効にした後に問題が発生した場合は、ロックを無効にするかOPALを削除して、ロックせずにドライブを使用し続けることができます。
ロックとPBAを無効にする場合は、次の手順を実行します。
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
予期される出力:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
次のコマンド シーケンスを使用して、ロックとPBAを再度有効にすることができます。
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
予期される出力:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
一部のOPALドライブにはファームウェアのバグがあり、以下のコマンドを実行するとすべてのデータが消去されます。テスト済みであることが分かっているドライブ/ファームウェア ペアのリストについては、「opalの削除
OPALを削除するには、次のコマンドを実行します。
sedutil-cli --revertnoerase
sedutil-cli --reverttper
予期される出力:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#