Шифрування операційної системи Ubuntu за допомогою жорсткого диска SED
Summary: Посібник Dell з найкращих зусиль щодо шифрування ОС Ubuntu під час використання жорсткого диска, що самошифрується.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Шифрування Ubuntu
Попередження: Dell офіційно не підтримує Linux Encryption. Цей посібник надається вам для ваших інформаційних цілей. Dell не може допомогти з усуненням несправностей або налаштуванням Ubuntu для використання апаратних самошифрувальних дисків.
Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Увімкнення режиму глибокого сну
-
Відкрийте термінал.
-
Введіть наступне, щоб перевірити, чи може система переходити в режим глибокого сну:
# sudo systemctl hibernate -
Якщо це спрацює, ви можете або використовувати команду глибокого сну на вимогу, або створити файл для додавання опції глибокого сну в системи меню:
створити/etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Додайте до файлу наступне та збережіть:
[Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes
[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes -
Якщо сплячка не спрацювала:
Перевірте, чи ваш розділ підкачки принаймні такий же великий, як доступна оперативна пам'ять.
Наявність розділів btrfs призводить до помилки глибокого сну, тому перевірте, чи не використовуються розділи btrfs. Окрім вилучення або переформатування таких розділів, вам може знадобитися вилучити пакунок btrfs-tools:# sudo apt purge btrfs-tools
Увімкніть роботу sedutil, увімкнувши allow_tpm
Взято з: http://jorgenmodin.net/
Необхідно ввімкнути модуль TPM.
libata.allow_tpm=1
... потрібно додати до параметрів вашого Grub.
Це /etc/default/grub означає, що має бути рядок, який говорить приблизно так:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Потім оновіть grub і перезавантажтеся.
# sudo update-grub
Шифрування диска
Взято з: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive
Попередження: Користувачі клавіатур, які не є us_english: як PBA,
так і системи порятунку використовують клавіатуру us_english. Це може спричинити проблеми під час встановлення пароля у звичайній операційній системі, якщо ви використовуєте інше відображення клавіатури. Щоб переконатися, що PBA розпізнає ваш пароль, вам рекомендується налаштувати диск із системи відновлення, як описано на цій сторінці.
так і системи порятунку використовують клавіатуру us_english. Це може спричинити проблеми під час встановлення пароля у звичайній операційній системі, якщо ви використовуєте інше відображення клавіатури. Щоб переконатися, що PBA розпізнає ваш пароль, вам рекомендується налаштувати диск із системи відновлення, як описано на цій сторінці.
Cause
Підготуйте завантажувальну систему порятунку
Скачайте систему порятунку для БІОС 
* Підтримка UEFI вимагає вимкнення безпечного завантаження.
Розпакуйте систему порятунку: (Користувачі Windows повинні використовувати 7-zip
gunzip RESCUE32.img.gz
--або--Перенесітьgunzip RESCUE64.img.gz
образ Rescue на USB-накопичувач.
Linux: dd if=RESCUE32.img of=/dev/sd?/dev/sd?( - вузол базового пристрою USB-накопичувача, без номера)
--або--dd if=RESCUE64.img of=/dev/sd?
Вікна: Використовуйте Win32DiskImager з sourceforge для запису образу на USB-накопичувач.
Завантажте флешку з системою порятунку на ній. Ви бачите запит на вхід, введіть root , пароля немає, і ви отримаєте запит кореневої оболонки.
ВСІ кроки, наведені нижче, повинні бути виконані в СИСТЕМІ ПОРЯТУНКУ.
Тест sedutil
Введіть команду: sedutil-cli --scan
Очікуваний вихід:#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 Samsung SSD 960 EVO 250GB 2B7QCXE7
/dev/sda 2 Crucial_CT250MX200SSD1 MU04
/dev/sdb 12 Samsung SSD 850 EVO 500GB EMT01B6Q
/dev/sdc 2 ST500LT025-1DH142 0001SDM7
/dev/sdd 12 Samsung SSD 850 EVO 250GB EMT01B6Q
No more disks present ending scan.
Переконайтеся, що на другому стовпці диска є двійка, яка вказує на підтримку OPAL 2. Якщо це не продовжується, є щось, що заважає sedutil підтримувати ваш диск. Якщо ви продовжите, ви можете стерти всі дані.
Перевірте PBA
Введіть команду linuxpba і використовуйте парольну фразу debug. Якщо ви не використовуєте debug як парольну фразу, ваша система перезавантажиться.
Очікуваний результат:#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL NOT LOCKED
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Переконайтеся, що Ваш диск є в списку, а PBA повідомляє про нього як «OPAL».
Видача команд у наведених нижче кроках увімкне блокування OPAL. Якщо у вас виникла проблема, ви повинні виконати дії, описані в кінці цієї сторінки (Інформація про
Наступні кроки використовують /dev/sdc як пристрій, а UEFI64-1.15.img.gz для образу PBA замініть належне для вашого диска та належне /dev/sd? ім'я PBA для вашої системи.
Resolution
Увімкніть блокування та PBA
Введіть команди нижче: (Використовуйте пароль налагодження для цього тесту, він буде змінений пізніше)
sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc
gunzip /usr/sedutil/UEFI64-n.nn.img.gz Замініть n.nn номером випуску.sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Замініть n.nn номером випуску.
Очікуваний результат:
#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#
Перевірте PBA, знову
Введіть команду linuxpba і використовуйте парольну фразу debug.
Цей другий тест підтверджує, що ваш диск дійсно розблоковано.
Очікуваний результат:
#linuxpba
Попередня авторизація
завантаження DTA LINUX Введіть парольну фразу для розблокування дисків OPAL: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB is OPAL NOT LOCKED
Drive /dev/sda Crucial_CT250MX200SSD1 is OPAL NOT LOCKED
Drive /dev/sdb Samsung SSD 850 EVO 500GB is OPAL NOT LOCKED
Drive /dev/sdc ST500LT025-1DH142 is OPAL Unlocked IMPORTANT!!
Drive /dev/sdd Samsung SSD 850 EVO 250GB is OPAL NOT LOCKED
Переконайтеся, що PBA розблоковує ваш диск, на ньому має бути написано "is OPAL Unlocked" Якщо це не так, ви повинні виконати кроки в кінці цієї сторінки, щоб видалити OPAL або вимкнути блокування.
Встановіть справжній пароль
Паролі SID та Admin1 не повинні збігатися, але це полегшує роботу.
sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
Очікуваний результат:
#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed
Переконайтеся, що ви не помилилися паролем, протестувавши його.
sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
Очікуваний результат:
#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on
Ваш диск тепер використовується за допомогою блокування OPAL.
Тепер ви повинні ПОВНІСТЮ ВИМКНУТИ СВОЮ СИСТЕМУ.
Це блокує диск, щоб при перезавантаженні системи він завантажував PBA.
Інформація про відновлення:
Якщо після ввімкнення блокування виникла проблема, ви можете вимкнути блокування або видалити OPAL, щоб продовжувати використовувати диск без блокування.
Якщо ви хочете вимкнути блокування та PBA:
sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off
Очікуваний результат:
#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off
Ви можете знову ввімкнути блокування та PBA за допомогою цієї послідовності команд.
sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on
Очікуваний результат:
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on
Деякі диски OPAL мають помилку мікропрограми, яка стирає всі дані, якщо ви видаєте наведені нижче команди. Перегляньте статтю Видалити опал
Щоб видалити OPAL, видайте такі команди:
sedutil-cli --revertnoerase
sedutil-cli --reverttper
Очікуваний результат:
#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#
Affected Products
Security, SoftwareArticle Properties
Article Number: 000132842
Article Type: Solution
Last Modified: 21 Aug 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.