Uw Ubuntu-besturingssysteem versleutelen met behulp van een SED-harde schijf

Ubuntu versleutelen

Overgenomen van: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Sluimerstand inschakelen

1. Open de terminal.

2. Typ het volgende om te controleren of het systeem in de sluimerstand kan komen:

   # sudo systemctl hibernate

3. Als het werkt, kunt u de opdracht gebruiken om op aanvraag in de sluimerstand te zetten of een bestand maken om de optie sluimerstand toe te voegen aan de menusystemen:
   
   maken /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Voeg het volgende toe aan het bestand en sla het op:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Als de sluimerstand niet werkt:

   Controleer of uw verwisselpartitie minstens zo groot is als uw beschikbare RAM.
   
   De aanwezigheid van btrfs-partities heeft bewezen dat de sluimerstand mislukt, dus controleer of u geen btrfs-partities gebruikt. Naast het verwijderen of opnieuw formatteren van dergelijke partities, moet u mogelijk het pakket btrfs-tools verwijderen:

   # sudo apt purge btrfs-tools

Schakel sedutil in om te werken door allow_tpm in te schakelen

Overgenomen van: http://jorgenmodin.net/

U moet TPM inschakelen:

libata.allow_tpm=1

... moet worden toegevoegd aan de Grub-parameters.

In /etc/default/grub dat betekent dat er een regel moet zijn die iets dergelijks zegt:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Werk grub vervolgens bij en start opnieuw op.

# sudo update-grub

Uw schijf versleutelen

Overgenomen van: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Een opstartbaar herstelsysteem voorbereiden

Download het herstelsysteem voor het BIOS of de 64-bits UEFI-machine .

* UEFI-ondersteuning vereist dat Secure Boot wordt uitgeschakeld.
Decomprimeer het herstelsysteem: ( Windows-gebruikers moeten 7-zip gebruiken)

gunzip RESCUE32.img.gz
--or--

gunzip RESCUE64.img.gz
Draag de herstelimage over naar de USB-stick.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? is het basisapparaatknooppunt van de USB-stick, geen nummer)
--of--
dd if=RESCUE64.img of=/dev/sd?

Windows: Gebruik Win32DiskImager van sourceforge om de image naar de USB-stick te schrijven.
Start de USB-stick op met het herstelsysteem erop. Als u de aanmeldingsprompt ziet, voert u root in dat er geen wachtwoord is, zodat u een root shell-prompt krijgt.

Alle onderstaande stappen moeten worden uitgevoerd op het RESCUE SYSTEM.

Test sedutil

Voer de volgende opdracht in: sedutil-cli --scan

Verwachte uitvoer:


#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.
Controleer of uw schijf een twee heeft in de tweede kolom die opAL 2-ondersteuning aangeeft. Als het niet lukt, is er iets dat voorkomt dat Sedutil uw schijf ondersteunt. Als u doorgaat, kunt u alle data wissen.

De PBA testen

Voer de opdracht linuxpba in en gebruik een pass-phrase van foutopsporing. Als u debug niet gebruikt als de pass-phrase, wordt uw systeem opnieuw opgestart.

Verwachte uitvoer:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Controleer of uw schijf wordt vermeld en of de PBA dit als 'OPAL' meldt.

Door de opdrachten in de volgende stappen uit te voeren, wordt OPAL-vergrendeling ingeschakeld. Als u een probleem hebt, moet u de stappen aan het einde van deze pagina (herstelinformatie ) volgen om de OPAL-vergrendeling uit te schakelen of te verwijderen.

In de volgende stappen gebruikt u /dev/sdc als apparaat en UEFI64-1.15.img.gz voor de PBA-image, vervangt u de juiste /dev/sd? voor uw schijf en de juiste PBA-naam voor uw systeem.

Terug naar boven

Vergrendeling en de PBA inschakelen

Voer de onderstaande opdrachten in: (Gebruik het wachtwoord van debug voor deze test, het wordt later gewijzigd)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Vervang n.nn door het releasenummer.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Vervang n.nn door het releasenummer.

Verwachte uitvoer:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Test de PBA opnieuw

Voer de opdracht linuxpba in en gebruik een pass-phrase van debug.
Deze tweede test controleert of uw schijf echt ontgrendeld wordt.

Verwachte uitvoer:

#linuxpba

DTA LINUX Pre Boot Authorization

Voer pass-phrase in om OPAL-schijven te ontgrendelen: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Controleer of de PBA uw schijf ontgrendelt. Als dit niet het geval is, moet u de stappen aan het einde van deze pagina volgen om OPAL te verwijderen of vergrendeling uit te schakelen.

Stel een echt wachtwoord in

De SID- en Admin1-wachtwoorden hoeven niet overeen te komen, maar het maakt het gemakkelijker.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Verwachte uitvoer:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Zorg ervoor dat u uw wachtwoord niet verkeerd hebt ingevoerd door het te testen.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Verwachte uitvoer:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Uw schijf wordt nu met OPAL-vergrendeling vergrendeld.
U moet nu UW SYSTEEM VOLLEDIG UITSCHAKELEN.
Dit vergrendelt de schijf zodat wanneer u het systeem opnieuw opstart, de PBA wordt opgestart.

Herstelinformatie:

Als er een probleem is nadat u vergrendeling hebt ingeschakeld, kunt u de vergrendeling uitschakelen of OPAL verwijderen om door te gaan met het gebruik van uw schijf zonder vergrendeling.

Als u Vergrendeling en de PBA wilt uitschakelen:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Verwachte uitvoer:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

U kunt vergrendeling en de PBA opnieuw inschakelen met behulp van deze opdrachtreeks.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Verwachte uitvoer:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Sommige OPAL-stations hebben een firmwarebug die alle data wist als u de onderstaande opdrachten uitgeeft. Zie opal verwijderen voor een lijst met schijf-/firmwareparen waarvan u weet dat ze zijn getest.

Voer deze opdrachten uit om OPAL te verwijderen:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Verwachte uitvoer:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Terug naar boven