Criptografando seu sistema operacional Ubuntu com uma unidade de disco rígido SED

Criptografando o Ubuntu

Fonte: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Habilitar hibernação

1. Abra o terminal.

2. Digite o seguinte comando para verificar se o sistema pode hibernar:

   # sudo systemctl hibernate

3. Se puder, será possível usar o comando para hibernar sob demanda ou criar um arquivo para adicionar a opção de hibernação aos sistemas de menu:
   
   para criar: /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Adicione o seguinte ao arquivo e salve:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Se ele não puder hibernar:

   Verifique se a partição de troca tem, ao menos, o mesmo tamanho da RAM disponível.
   
   É comprovado que a presença de partições btrfs faz com que a hibernação falhe. Dessa forma, verifique se você não está usando alguma partição btrfs. Além de remover ou reformatar essas partições, talvez seja necessário remover o pacote btrfs-tools:

   # sudo apt purge btrfs-tools

Habilite o funcionamento do sedutil habilitando allow_tpm

Fonte: http://jorgenmodin.net/

Você precisa habilitar o TPM:

libata.allow_tpm=1

... precisa ser adicionado aos parâmetros do Grub.

Em /etc/default/grub. Isso significa que deve ter uma linha informando algo como:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Em seguida, atualize o Grub e reinicialize.

# sudo update-grub

Criptografar a sua unidade

Fonte: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Preparar um sistema de resgate inicializável

Faça download do sistema de resgate para BIOS ou UEFI de 64 bits na máquina.

* O suporte a UEFI exige que a inicialização segura seja desativada.
Descompacte o sistema de resgate: (Os usuários do Windows devem usar o 7-zip )

gunzip RESCUE32.img.gz
--ou--
gunzip RESCUE64.img.gz

Transfira a imagem de resgate para uma unidade USB.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? é o nó do dispositivo de base da unidade USB, sem número)
--ou--
dd if=RESCUE64.img of=/dev/sd?

Windows: Use o Win32DiskImager da Sourceforge para gravar a imagem na unidade USB.
Inicialize o pen drive USB que contém o sistema de resgate. Você verá o prompt de login, digite root. Não há senha, portanto, você obterá um prompt root shell.

TODAS as etapas abaixo devem ser executadas no SISTEMA DE RESGATE.

Testar o sedutil

Digite o comando: sedutil-cli --scan

Saída esperada:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Verifique se a sua unidade tem um número dois na segunda coluna, indicando o suporte ao OPAL 2. Se não tiver, algo está impedindo o sedutil de oferecer suporte à sua unidade. Se você continuar, poderá apagar todos os dados.

Testar a PBA

Digite o comando linuxpba e use uma frase secreta de depuração. Se você não usar a frase secreta de depuração, o sistema será reinicializado.

Saída esperada:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique se a sua unidade está listada e se a PBA a reporta como "is OPAL".

A emissão dos comandos nas etapas a seguir ativará o bloqueio de OPAL. Se você tiver um problema, deverá seguir as etapas no final desta página (Informações de recuperação ) para desativar ou remover o bloqueio de OPAL.

As etapas a seguir usam /dev/sdc como dispositivo e UEFI64-1.15.img.gz como a imagem de PBA. Substitua o /dev/sd? específico, de acordo com a sua unidade, e o nome de PBA adequado, de acordo com o seu sistema.

Voltar ao início

Habilitar o bloqueio e a PBA

Digite os comandos abaixo: (Use a senha de depuração neste teste. Ela será alterada posteriormente)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Substitua n.nn pelo número de versão.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Substitua n.nn pelo número de versão.

Saída esperada:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Testar a PBA novamente

Digite o comando linuxpba e use uma frase secreta de depuração.
Este segundo teste verifica se a unidade está realmente desbloqueada.

Saída esperada:

#linuxpba

Autorização de pré-inicialização do DTA LINUX

Insira a frase secreta para desbloquear as unidades OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Verifique se a PBA desbloqueou a sua unidade. Deve aparecer "is OPAL Unlocked". Se a unidade não estiver desbloqueada, siga as etapas no final desta página para remover o OPAL ou desativar o bloqueio.

Definir uma senha real

As senhas de SID e Admin1 não precisam ser correspondentes, mas isso facilita tudo.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Saída esperada:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Faça o teste para garantir que não digitou errado a sua senha.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Saída esperada:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Sua unidade agora está usando o bloqueio de OPAL.
Você deve desligar o seu sistema completamente.
Isso bloqueia a unidade para que, ao reiniciar o sistema, a PBA seja inicializada.

Informações de recuperação:

Se houver um problema após a ativação do bloqueio, você poderá desativar o bloqueio ou remover o OPAL para continuar usando a unidade sem bloqueio.

Se você quiser desativar o bloqueio e a PBA:

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Saída esperada:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Você pode reativar o bloqueio e a PBA usando esta sequência de comandos.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Saída esperada:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

Algumas unidades OPAL apresentam um bug de firmware que, se você executar os comandos abaixo, todos os dados serão apagados. Consulte Remover OPAL para obter uma lista dos pares de unidade/firmware que foram testados.

Para remover o OPAL, execute estes comandos:

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Saída esperada:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

Voltar ao início