Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

SED 하드 드라이브를 사용하여 Ubuntu 운영 체제 암호화

Summary: 자체 암호화 하드 드라이브 사용 시 Ubuntu OS 암호화에 대한 Dell의 최선의 지원 가이드

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Ubuntu 암호화

경고: Dell은 공식적으로 Linux 암호화를 지원하지 않습니다. 이 가이드 정보 제공을 목적으로 제공됩니다. Dell은 하드웨어 SED(Self-Encrypting Drive)를 사용하도록 Ubuntu의 문제 해결 또는 설정을 지원할 수 없습니다.
 

출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

최대 절전 모드 활성화

  1. 터미널을 엽니다.

  2. 다음을 입력하여 시스템이 최대 절전 모드로 전환되는지 확인합니다.

    # sudo systemctl hibernate

  3. 작동하면 명령을 사용하여 필요에 따라 최대 절전 모드로 전환하거나 파일을 생성하여 최대 절전 모드 옵션을 메뉴 시스템에 추가할 수 있습니다.

    /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla를 생성합니다. 파일에 다음을 추가하고 저장합니다.

    [Re-enable hibernate by default in upower]
    Identity=unix-user:*
    Action=org.freedesktop.upower.hibernate
    ResultActive=yes


    [Re-enable hibernate by default in logind]
    Identity=unix-user:*
    Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
    ResultActive=yes

  4. 최대 절전 모드가 작동하지 않는 경우:

    스왑 파티션이 사용 가능한 RAM보다 크지 않은지 확인합니다.

    btrfs 파티션이 있으면 최대 절전 모드가 실패하므로 btrfs 파티션을 사용하고 있지 않은지 확인합니다. 이러한 파티션을 제거하거나 다시 포맷하는 것 외에도 btrfs-tools 패키지를 제거해야 할 수 있습니다.

    # sudo apt purge btrfs-tools

 

allow_tpm을 활성화하여 sedutil을 사용하도록 설정

출처: http://jorgenmodin.net/ 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

TPM을 활성화해야 합니다.

libata.allow_tpm=1

grub의 매개변수에 추가되어야 합니다.

/etc/default/grub에서 즉, 다음과 같은 것을 말하는 줄이 있어야합니다.

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

그런 다음 grub을 업데이트하고 재부팅합니다.

# sudo update-grub

 

드라이브 암호화

출처: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

경고: 비 us_english 키보드 사용자:

PBA 및 복구 시스템 모두 us_english 키보드를 사용합니다. 다른 키보드 매핑을 사용하는 경우 일반 운영 체제에서 비밀번호를 설정할 때 문제가 발생할 수 있습니다. PBA가 비밀번호를 인식하도록 하려면 이 페이지에 설명된 대로 복구 시스템에서 드라이브를 설정하는 것이 좋습니다.

Cause

부팅 가능한 복구 시스템 준비

BIOS 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 또는 64비트 UEFI 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 머신에 대한 복구 시스템을 다운로드합니다.

* UEFI를 지원하려면 보안 부팅이 꺼져 있어야 합니다.
복구 시스템 압축 해제: (Windows 사용자는 7-zip이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.을 사용해야 함)

gunzip RESCUE32.img.gz
--또는--
gunzip RESCUE64.img.gz

복구 이미지를 USB 스틱으로 이전하십시오.
Linux: dd if=RESCUE32.img of=/dev/sd?(/dev/sd?은 USB 스틱 기본 디바이스 노드이며 번호는 없음)
--또는--
dd if=RESCUE64.img of=/dev/sd?

Windows: SourceForge의 Win32DiskImager를 사용하여 USB 스틱에 이미지를 기록합니다.
복구 시스템이 장착된 USB 썸 드라이브를 부팅합니다. 로그인 프롬프트가 표시되면 root를 입력합니다. 비밀번호가 없으므로 루트 셸 프롬프트가 나타납니다.

아래의 모든 단계는 복구 시스템에서 실행해야합니다.

 

sedutil 테스트

다음 명령 입력: sedutil-cli --scan

예상 출력:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.


드라이브의 두 번째 열에 OPAL 2 지원을 나타내는 두 개가 있는지 확인합니다. 계속 진행되지 않으면 sedutil이 드라이브를 지원하지 못하는 문제가 있습니다. 계속하면 모든 데이터를 지울 수 있습니다.

 

PBA 테스트

linuxpba 명령을 입력하고 디버그의 비밀번호를 사용합니다. 비밀번호 구문으로 debug를 사용하지 않으면 시스템이 재부팅됩니다.

예상 출력:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

드라이브가 나열되어 있고 PBA가 이를 "is OPAL"로 보고하는지 확인합니다.

다음 단계에서 명령을 실행하면 OPAL 잠금이 활성화됩니다. 문제가 있는 경우 이 페이지 끝(복구 정보 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.)의 단계에 따라 OPAL 잠금을 비활성화하거나 제거해야 합니다.

다음 단계에서는 디바이스로 /dev/sdc를 사용하고 UEFI64-1.15.img.gz를 사용하며, 드라이브에 대해 적절한 /dev/sd?를 대체하고 시스템에 대해 적절한 PBA 이름을 대체합니다.

맨 위로 이동

Resolution

잠금 및 PBA 활성화

아래 명령을 입력합니다. (이 테스트에는 debug 비밀번호를 사용하며, 나중에 변경됨)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz 릴리스 번호로 n.nn를 대체합니다.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc 릴리스 번호로 n.nn를 대체합니다.

예상 출력:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

 

PBA를 다시 테스트

linuxpba 명령을 입력하고 debug 비밀번호를 사용합니다.
이 두 번째 테스트는 드라이브가 실제로 잠금 해제되는지 확인합니다.

예상 출력:

#linuxpba

DTA Linux 사전 부팅 인증

비밀번호 구문을 입력하여 OPAL 드라이브 잠금 해제: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

PBA가 드라이브의 잠금을 해제하는지 확인합니다. "is OPAL Unlocked"가 표시되어야 합니다. 그렇지 않은 경우 이 페이지 끝부분의 단계에 따라 OPAL을 제거하거나 잠금을 해제해야 합니다.

 

실제 비밀번호 설정

SID와 Admin1 비밀번호는 일치하지 않아도 되지만 더 쉽게 사용할 수 있습니다.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

예상 출력:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

비밀번호를 테스트하여 잘못 입력하지 않았는지 확인합니다.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

예상 출력:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

이제 드라이브가 OPAL 잠금을 사용하고 있습니다.
지금 시스템 전원을 완전히 꺼야 합니다.
이렇게 하면 시스템이 재시작될 때 PBA가 부팅되도록 드라이브가 잠깁니다.

 

복구 정보:

잠금을 활성화한 후 문제가 발생하면 잠금을 비활성화하거나 OPAL을 제거하여 잠그지 않고 드라이브를 계속 사용할 수 있습니다.

잠금 및 PBA를 비활성화하려면 다음을 수행합니다.

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

예상 출력:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off


이 명령 시퀀스를 사용하여 잠금 및 PBA를 다시 활성화할 수 있습니다.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

예상 출력:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

일부 OPAL 드라이브에는 아래 명령을 실행하면 모든 데이터가 지워지는 펌웨어 버그가 있습니다. 테스트된 것으로 알려진 드라이브/펌웨어 쌍 목록은 opal 제거이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.를 참조하십시오.

OPAL을 제거하려면 다음 명령을 실행합니다.

sedutil-cli --revertnoerase
sedutil-cli --reverttper

예상 출력:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

맨 위로 이동

Affected Products

Security, Software
Article Properties
Article Number: 000132842
Article Type: Solution
Last Modified: 21 Aug 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.