SEDハード ドライブを使用したUbuntuオペレーティング システムの暗号化
Summary: 自己暗号化ハード ドライブ使用時にUbuntu OSを暗号化するためのデル・テクノロジーズのベスト エフォート ガイド。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ubuntuの暗号化
Warning: デル・テクノロジーズはLinux Encryptionを正式にサポートしていません。このガイドは、お客様のご参考のために提供するものです。デル・テクノロジーズは、ハードウェア自己暗号化ドライブを使用するためのトラブルシューティングやUbuntuのセットアップをサポートすることはできません。
引用元:https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
休止状態を有効にする
-
ターミナルを開きます。
-
次のように入力して、システムを休止状態にできるかどうかを確認します。
# sudo systemctl hibernate -
正常に作動する場合は、コマンドを使用してオン デマンドで休止状態にするか、ファイルを作成してメニュー システムに休止状態オプションを追加することができます。
/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pklaを作成します。作成したファイルに次を追加して、保存します。
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
休止状態が機能しない場合:
スワップ パーティションが使用可能なRAMと少なくとも同じ大きさであるかどうかを確認します。
btrfsパーティションの存在により、休止状態が失敗することが証明されているため、btrfsパーティションを使用していないかどうかを確認します。このようなパーティションを削除または再フォーマットする以外に、btrfs-toolsパッケージを削除する必要がある場合があります。# sudo apt purge btrfs-tools
allow_tpmを有効にしてsedutilを作動させる
TPMを有効にする必要があります。
libata.allow_tpm=1
...Grubのパラメーターに追加する必要があります。
つまり、/etc/default/grubの中に次のような行が存在する必要があります。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
次にgrubをアップデートして再起動します。
# sudo update-grub
ドライブの暗号化
引用元:https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Warning: 非us_englishキーボードのユーザー:
PBAとレスキュー システムの両方がus_englishキーボードを使用します。これにより、別のキーボード マッピングを使用する場合に、通常のオペレーティング システムでパスワードを設定するときに問題が発生する可能性があります。PBAがパスワードを認識していることを確認するには、このページの説明に従ってレスキュー システムからドライブをセットアップすることをお勧めします。
PBAとレスキュー システムの両方がus_englishキーボードを使用します。これにより、別のキーボード マッピングを使用する場合に、通常のオペレーティング システムでパスワードを設定するときに問題が発生する可能性があります。PBAがパスワードを認識していることを確認するには、このページの説明に従ってレスキュー システムからドライブをセットアップすることをお勧めします。
Cause
ブータブル レスキュー システムの準備
BIOS
* UEFIサポートでは、セキュア ブートをオフにする必要があります。
レスキュー システムを解凍します(Windowsユーザーは7-zip
gunzip RESCUE32.img.gz
--または--gunzip RESCUE64.img.gz
レスキュー イメージをUSBスティックに転送します。
Linux:dd if=RESCUE32.img of=/dev/sd?(/dev/sd?はUSBスティック ベース デバイス ノード、番号なし)
--または--dd if=RESCUE64.img of=/dev/sd?
Windowsの場合:sourceforgeからWin32DiskImagerを使用して、イメージをUSBスティックに書き込みます。
レスキュー システムを搭載したUSBサム ドライブを起動します。ログイン プロンプトが表示されたら、「root」と入力します。パスワードがないため、rootシェル プロンプトが表示されます。
以下のすべての手順は、レスキュー システムで実行する必要があります。
sedutilのテスト
次のコマンドを入力します。sedutil-cli --scan
予期される出力:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
ご使用のドライブの2番目の列に、OPAL 2のサポートを示す2があることを確認します。確認できない場合は続行しないでください。sedutilがドライブをサポートするのを妨げている何らかの問題があります。続行すると、すべてのデータを消去できます。
PBAのテスト
コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。パスフレーズとしてデバッグを使用しない場合は、システムが再起動します。
予期される出力:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
お使いのドライブがリストされていることと、PBAがドライブを「OPAL」として報告していることを確認します。
次の手順でコマンドを発行すると、OPALロックが有効になります。問題が発生した場合は、このページの最後にある手順(リカバリー情報
次の手順では、デバイスとして/dev/sdcを、PBAイメージにはUEFI64-1.15.img.gzを使用し、ドライブの適切な/dev/sd?とシステムの適切なPBA名を置き換えます。
Resolution
ロックとPBAを有効にする
次のコマンドを入力します(このテストではデバッグのパスワードを使用します。これは後で変更されます)。
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz n.nnをリリース番号に置き換えます。sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc n.nnをリリース番号に置き換えます。
予期される出力:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
再度PBAをテスト
コマンドlinuxpbaを入力し、デバッグのパスフレーズを使用します。
この2番目のテストでは、ドライブが実際にアンロックされることを確認します。
予期される出力:
#linuxpba
DTA LINUX起動前認証
パスフレーズを入力してOPALドライブをアンロックします。 *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
PBAがドライブをアンロックしていることを確認します。「iS OPAL Unlocked」と表示されます。表示されない場合は、このページの最後にある手順に従ってOPALを削除するか、ロックを無効にする必要があります。
実際のパスワードの設定
SIDとAdmin1のパスワードは一致させる必要はありませんが、より簡単になります。
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
予期される出力:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
パスワードをテストして、入力に誤りがないことを確認します。
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
予期される出力:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
これで、ドライブでOPALロックが使用されるようになりました。
次にシステムの電源を完全に切る必要があります。
これによりドライブがロックされ、システムを再起動するとPBAが起動します。
リカバリー情報:
ロックを有効にした後に問題が発生した場合は、ロックを無効にするかOPALを削除して、ロックせずにドライブを使用し続けることができます。
ロックとPBAを無効にする場合は、次の手順を実行します。
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
予期される出力:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
次のコマンド シーケンスを使用して、ロックとPBAを再度有効にすることができます。
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
予期される出力:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
一部のOPALドライブにはファームウェアのバグがあり、以下のコマンドを実行するとすべてのデータが消去されます。テスト済みであることが分かっているドライブ/ファームウェア ペアのリストについては、「opalの削除
OPALを削除するには、次のコマンドを実行します。
sedutil-cli --revertnoerase
sedutil-cli --reverttper
予期される出力:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: Solution
Last Modified: 21 Aug 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.