출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
최대 절전 모드 활성화
터미널을 엽니다.
다음을 입력하여 시스템이 최대 절전 모드로 전환되는지 확인합니다.
# sudo systemctl hibernate
작동하면 명령을 사용하여 필요에 따라 최대 절전 모드로 전환하거나 파일을 생성하여 최대 절전 모드 옵션을 메뉴 시스템에 추가할 수 있습니다.
/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla
를 생성합니다. 파일에 다음을 추가하고 저장합니다.
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes
최대 절전 모드가 작동하지 않는 경우:
스왑 파티션이 사용 가능한 RAM보다 크지 않은지 확인합니다.
btrfs 파티션이 있으면 최대 절전 모드가 실패하므로 btrfs 파티션을 사용하고 있지 않은지 확인합니다. 이러한 파티션을 제거하거나 다시 포맷하는 것 외에도 btrfs-tools 패키지를 제거해야 할 수 있습니다.
# sudo apt purge btrfs-tools
allow_tpm을 활성화하여 sedutil을 사용하도록 설정
TPM을 활성화해야 합니다.
libata.allow_tpm=1
grub의 매개변수에 추가되어야 합니다.
/etc/default/grub
에서 즉, 다음과 같은 것을 말하는 줄이 있어야합니다.
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
그런 다음 grub을 업데이트하고 재부팅합니다.
# sudo update-grub
드라이브 암호화
출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
부팅 가능한 복구 시스템 준비
BIOS 또는 64비트 UEFI 머신에 대한 복구 시스템을 다운로드합니다.
* UEFI를 지원하려면 보안 부팅이 꺼져 있어야 합니다.
복구 시스템 압축 해제: (Windows 사용자는 7-zip을 사용해야 함)
gunzip RESCUE32.img.gz
--또는--gunzip RESCUE64.img.gz
복구 이미지를 USB 스틱으로 이전하십시오.
Linux: dd if=RESCUE32.img of=/dev/sd?
(/dev/sd?
은 USB 스틱 기본 디바이스 노드이며 번호는 없음)
--또는--dd if=RESCUE64.img of=/dev/sd?
Windows: SourceForge의 Win32DiskImager를 사용하여 USB 스틱에 이미지를 기록합니다.
복구 시스템이 장착된 USB 썸 드라이브를 부팅합니다. 로그인 프롬프트가 표시되면 root를 입력합니다. 비밀번호가 없으므로 루트 셸 프롬프트가 나타납니다.
아래의 모든 단계는 복구 시스템에서 실행해야합니다.
sedutil
테스트
다음 명령 입력: sedutil-cli --scan
예상 출력:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
드라이브의 두 번째 열에 OPAL 2 지원을 나타내는 두 개가 있는지 확인합니다. 계속 진행되지 않으면 sedutil이 드라이브를 지원하지 못하는 문제가 있습니다. 계속하면 모든 데이터를 지울 수 있습니다.
PBA 테스트
linuxpba
명령을 입력하고 디버그의 비밀번호를 사용합니다. 비밀번호 구문으로 debug를 사용하지 않으면 시스템이 재부팅됩니다.
예상 출력:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
드라이브가 나열되어 있고 PBA가 이를 "is OPAL"로 보고하는지 확인합니다.
다음 단계에서 명령을 실행하면 OPAL 잠금이 활성화됩니다. 문제가 있는 경우 이 페이지 끝(복구 정보 )의 단계에 따라 OPAL 잠금을 비활성화하거나 제거해야 합니다.
다음 단계에서는 디바이스로 /dev/sdc를 사용하고 UEFI64-1.15.img.gz
를 사용하며, 드라이브에 대해 적절한 /dev/sd?
를 대체하고 시스템에 대해 적절한 PBA 이름을 대체합니다.
잠금 및 PBA 활성화
아래 명령을 입력합니다. (이 테스트에는 debug 비밀번호를 사용하며, 나중에 변경됨)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz 릴리스 번호로
n.nn
를 대체합니다.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc 릴리스 번호로
n.nn
를 대체합니다.
예상 출력:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
PBA를 다시 테스트
linuxpba 명령을 입력하고 debug 비밀번호를 사용합니다.
이 두 번째 테스트는 드라이브가 실제로 잠금 해제되는지 확인합니다.
예상 출력:
#linuxpba
DTA Linux 사전 부팅 인증
비밀번호 구문을 입력하여 OPAL 드라이브 잠금 해제: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
PBA가 드라이브의 잠금을 해제하는지 확인합니다. "is OPAL Unlocked"가 표시되어야 합니다. 그렇지 않은 경우 이 페이지 끝부분의 단계에 따라 OPAL을 제거하거나 잠금을 해제해야 합니다.
실제 비밀번호 설정
SID와 Admin1 비밀번호는 일치하지 않아도 되지만 더 쉽게 사용할 수 있습니다.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
예상 출력:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
비밀번호를 테스트하여 잘못 입력하지 않았는지 확인합니다.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
예상 출력:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
이제 드라이브가 OPAL 잠금을 사용하고 있습니다.
지금 시스템 전원을 완전히 꺼야 합니다.
이렇게 하면 시스템이 재시작될 때 PBA가 부팅되도록 드라이브가 잠깁니다.
복구 정보:
잠금을 활성화한 후 문제가 발생하면 잠금을 비활성화하거나 OPAL을 제거하여 잠그지 않고 드라이브를 계속 사용할 수 있습니다.
잠금 및 PBA를 비활성화하려면 다음을 수행합니다.
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
예상 출력:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
이 명령 시퀀스를 사용하여 잠금 및 PBA를 다시 활성화할 수 있습니다.
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
예상 출력:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
일부 OPAL 드라이브에는 아래 명령을 실행하면 모든 데이터가 지워지는 펌웨어 버그가 있습니다. 테스트된 것으로 알려진 드라이브/펌웨어 쌍 목록은 opal 제거를 참조하십시오.
OPAL을 제거하려면 다음 명령을 실행합니다.
sedutil-cli --revertnoerase
sedutil-cli --reverttper
예상 출력:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#