SED Özellikli Sabit Sürücü Kullanarak Ubuntu İşletim Sisteminizi Şifreleme

Ubuntu'yu Şifreleme

Kaynak Sayfa: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Hazırda Bekletme Özelliğini Etkinleştirme

1. Terminali açın.

2. Sistemin hazırda bekletme özelliğini destekleyip desteklemediğini doğrulamak için aşağıdaki komutu girin:

   # sudo systemctl hibernate

3. Hazırda bekletme çalışıyorsa ya komut yardımıyla hazırda bekletme modunu isteğe bağlı olarak kullanabilir ya da menü sistemlerine hazırda bekletme seçeneğini eklemek için bir dosya oluşturabilirsiniz:
   
   Şu dosyayı oluşturun: /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Dosyaya aşağıdakileri ekleyin ve kaydedin:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Hazırda bekletme çalışmıyorsa:

   Swap (Takas) bölümünüzün, en azından kullanılabilir RAM'inizin boyutunda olup olmadığını kontrol edin.
   
   Btrfs bölümlerinin varlığının, hazırda bekletmenin başarısız olmasına yol açtığı kanıtlanmıştır; bu nedenle herhangi bir btrfs bölümü kullanmadığınızdan emin olun. Bu tür bölümleri kaldırmanın veya yeniden biçimlendirmenin yanı sıra btrfs-tools paketini kaldırmanız da gerekebilir:

   # sudo apt purge btrfs-tools

Sedutil yardımcı programının çalışması için allow_tpm özelliğini etkinleştirme

Kaynak Sayfa: http://jorgenmodin.net/

TPM'yi etkinleştirmeniz gerekir:

libata.allow_tpm=1

...komutu Grub parametrelerinize eklenmelidir.

/etc/default/grub için bu, aşağıdaki gibi bir satırın bulunması gerektiği anlamına gelir:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Ardından grub'u güncelleştirin ve yeniden başlatın.

# sudo update-grub

Sürücünüzü Şifreleme

Kaynak Sayfa: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Önyüklenebilir Kurtarma Sistemi Hazırlama

BIOS veya 64 bit UEFI makinesi için kurtarma sistemini indirin.

* UEFI desteği için Güvenli Önyükleme özelliğinin kapatılması gerekir.
Kurtarma sistemi sıkıştırılmış dosyasını açın: (Windows kullanıcıları 7-zip uygulamasını kullanmalıdır.)

gunzip RESCUE32.img.gz
--veya--
gunzip RESCUE64.img.gz

Kurtarma görüntüsünü USB çubuğuna aktarın.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd?, USB çubuğu temel aygıt düğümüdür; sayı yoktur)
--veya--
dd if=RESCUE64.img of=/dev/sd?

Windows: Görüntüyü USB çubuğuna yazması için SourceForge'daki Win32DiskImager'ı kullanın.
Kurtarma sistemini içeren USB flash sürücüsünü önyükleyin. Oturum açma istemini gördüğünüzde root yazın; parola olmadığından root shell istemi alırsınız.

Aşağıdaki TÜM adımlar KURTARMA SİSTEMİNDE uygulanmalıdır.

"sedutil" yardımcı programını test etme

Şu komutu girin: sedutil-cli --scan

Beklenen Çıktı:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Sürücünüzün ikinci sütunda 2 değerine sahip olduğundan (bu, OPAL 2 desteğine işaret eder) emin olun. Değer mevcut değilse işleme devam etmeyin; sedutil yardımcı programının sürücünüzü desteklemesini engelleyen bir sorun vardır. Devam ederseniz tüm veriler silinebilir.

PBA'yı test etme

linuxpba komutunu girin ve parola olarak debug ifadesini kullanın. Parola olarak debug ifadesini kullanmazsanız sisteminiz yeniden başlatılır.

Beklenen Çıktı:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Sürücünüzün listelenmiş olduğunu ve PBA'nın bu sürücüyü "OPAL" olarak raporladığını doğrulayın.

Bundan sonraki adımlarda verilen komutların çalıştırılması OPAL kilitlemesini etkinleştirecektir. Bir sorun yaşıyorsanız OPAL kilitlemesini devre dışı bırakmak veya kaldırmak için bu sayfanın sonundaki adımları (Kurtarma Bilgileri ) izlemeniz gerekir.

Aşağıdaki adımlarda aygıt olarak /dev/sdc ve PBA görüntüsü olarak UEFI64-1.15.img.gz kullanılmaktadır. Bunlar yerine, sürücünüzün ilgili /dev/sd? adını ve sisteminizin ilgili PBA adını kullanın.

Başa Dön

Kilitlemeyi ve PBA'yı etkinleştirme

Aşağıdaki komutları girin: (Bu test için parola olarak debug ifadesini kullanın; parolayı daha sonra değiştireceksiniz)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz n.nn ifadesini sürüm numarasıyla değiştirin.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc n.nn ifadesini sürüm numarasıyla değiştirin.

Beklenen Çıktı:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

PBA'yı tekrar test etme

linuxpba komutunu girin ve parola olarak debug ifadesini kullanın.
Bu ikinci test, sürücünüzün kilidinin gerçekten açılıp açılmadığını doğrular.

Beklenen Çıktı:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

PBA'nın sürücünüzün kilidini açtığını doğrulayın; "is OPAL Unlocked" mesajı mevcutsa sürücünün kilidi açılmıştır. Aksi takdirde OPAL'yi kaldırmak veya kilitlemeyi devre dışı bırakmak için bu sayfanın sonundaki adımları izlemeniz gerekir.

Gerçek Parola Ayarlama

SID ve Admin1 parolalarının eşleşmesi zorunlu değildir ancak işleri daha da kolaylaştırır.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Beklenen Çıktı:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Parolanızı test ederek yanlış yazmadığınızdan emin olun.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Beklenen Çıktı:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Sürücünüzde artık OPAL kilitlemesi kullanılmaktadır.
Şimdi SİSTEMİNİZİ TAMAMEN KAPATMALISINIZ.
Bunu yaptığınızda sürücü kilitlenir ve böylece sisteminizi yeniden başlattığınızda PBA'ya önyükleme yapılır.

Kurtarma Bilgileri:

Kilitlemeyi etkinleştirdikten sonra bir sorunla karşılaşırsanız sürücünüzü kilitlemeden kullanmaya devam etmek için kilitlemeyi devre dışı bırakabilir ya da OPAL'yi kaldırabilirsiniz.

Kilitlemeyi ve PBA'yı devre dışı bırakmak istiyorsanız:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Beklenen Çıktı:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Bu komut sırasını kullanarak kilitlemeyi ve PBA'yı yeniden etkinleştirebilirsiniz.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Beklenen Çıktı:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Bazı OPAL sürücülerinde, aşağıdaki komutları verdiğinizde tüm verilerin silinmesine neden olan bir bellenim hatası mevcuttur. Test edilmiş sürücü/bellenim çiftlerinin listesi için Remove opal (Opal'yi kaldırma) sayfasını inceleyin.

OPAL'yi kaldırmak için şu komutları girin:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Beklenen Çıktı:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Başa Dön