Шифрование операционной системы Ubuntu с помощью жесткого диска SED

Шифрование Ubuntu

Источник: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Включение режима гибернации

1. Откройте терминал.

2. Введите следующую команду, чтобы проверить, может ли система перейти в режим гибернации.

   # sudo systemctl hibernate

3. Если она работает, можно использовать команду перехода в режим гибернации по требованию или создать файл, чтобы добавить параметр гибернации в меню системы.
   
   Создайте /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla. Добавьте следующее в файл и сохраните:
   
   [Re-enable hibernate by default in upower]
Identity=unix-user:*
Action=org.freedesktop.upower.hibernate
ResultActive=yes

[Re-enable hibernate by default in logind]
Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit
ResultActive=yes

4. Если режим гибернации не работает, выполните следующие действия.

   Убедитесь, что размер раздела подкачки не меньше доступного объема ОЗУ.
   
   Проверено, что наличие разделов btrfs не позволяет перевести компьютер в режим гибернации, поэтому убедитесь, что вы не используете разделы btrfs. Помимо удаления или переформатирования таких разделов, может потребоваться удалить пакет btrfs-tools:

   # sudo apt purge btrfs-tools

Включение sedutil с помощью allow_tpm

Источник: http://jorgenmodin.net/

Необходимо включить TPM:

libata.allow_tpm=1

....Необходимо добавить в параметры GRUB.

В /etc/default/grub это означает, что должна быть строка, содержащая подобную информацию:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"

Затем обновите GRUB и перезагрузите компьютер.

# sudo update-grub

Шифрование накопителя

Источник: https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Подготовка загрузочной системы восстановления

Скачайте систему восстановления для компьютера с BIOS или 64-разрядной UEFI .

* Для поддержки UEFI необходимо отключить функцию Secure Boot.
Распаковка системы восстановления: (пользователи Windows должны использовать 7-zip )

gunzip RESCUE32.img.gz
--или--
gunzip RESCUE64.img.gz

Перенесите образ Rescue на USB-накопитель.
Linux: dd if=RESCUE32.img of=/dev/sd? (/dev/sd? — это базовый узел USB-накопителя, без номера)
--или--
dd if=RESCUE64.img of=/dev/sd?

Windows: Используйте Win32DiskImager от sourceforge для записи образа на USB-накопитель.
Загрузите флэш-накопитель USB с установленной на нем системой восстановления. Появится запрос на вход. Введите root. Пароль не нужен, поэтому появится командная строка оболочки root.

ВСЕ описанные ниже действия необходимо выполнять в СИСТЕМЕ ВОССТАНОВЛЕНИЯ.

Проверка sedutil

Введите команду: sedutil-cli --scan

Ожидаемый вывод:

#sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0  2  Samsung SSD 960 EVO 250GB    2B7QCXE7
/dev/sda  2  Crucial_CT250MX200SSD1    MU04
/dev/sdb  12  Samsung SSD 850 EVO 500GB    EMT01B6Q
/dev/sdc  2  ST500LT025-1DH142    0001SDM7
/dev/sdd  12  Samsung SSD 850 EVO 250GB    EMT01B6Q
No more disks present ending scan.

Убедитесь, что во втором столбце накопителя есть цифра 2, что указывает на поддержку OPAL 2. Если ее там нет, не выполняйте дальнейшие действия, что-то препятствует поддержке накопителя с помощью sedutil. Если продолжить, можно удалить все данные.

Проверка PBA

Введите команду linuxpba и используйте фразу-пароль «debug». Если «debug» не используется в качестве кодовой фразы, система перезагрузится.

Ожидаемый вывод:

#linuxpba
DTA LINUX Pre Boot Authorization
Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL NOT LOCKED
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Убедитесь, что накопитель указан в списке, а PBA отображает сообщение «is OPAL».

Выполнение команд в следующих этапах приведет к включению блокировки OPAL. При возникновении проблемы необходимо выполнить действия, описанные в конце этой страницы (Информация о восстановлении ), чтобы отключить или удалить блокировку OPAL.

Следующие шаги используют /dev/sdc в качестве устройства, а UEFI64-1.15.img.gz в качестве образа PBA. Замените /dev/sd? на подходящий для вашего накопителя и укажите правильное имя PBA для вашей системы.

В начало

Включение блокировки и PBA

Введите команды, представленные ниже: (Используйте пароль «debug» для этой проверки, он будет изменен позже.)

sedutil-cli --initialsetup debug /dev/sdc
sedutil-cli --enablelockingrange 0 debug /dev/sdc
sedutil-cli --setlockingrange 0 lk debug /dev/sdc
sedutil-cli --setmbrdone off debug /dev/sdc

gunzip /usr/sedutil/UEFI64-n.nn.img.gz Замените n.nn на номер выпуска.
sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-n.nn.img /dev/sdc Замените n.nn на номер выпуска.

Ожидаемый вывод:

#sedutil-cli --initialsetup debug /dev/sdc
- 14:06:39.709 INFO: takeOwnership complete
- 14:06:41.703 INFO: Locking SP Activate Complete
- 14:06:42.317 INFO: LockingRange0 disabled
- 14:06:42.694 INFO: LockingRange0 set to RW
- 14:06:43.171 INFO: MBRDone set on
- 14:06:43.515 INFO: MBRDone set on
- 14:06:43.904 INFO: MBREnable set on
- 14:06:43.904 INFO: Initial setup of TPer complete on /dev/sdc
#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setlockingrange 0 lk debug /dev/sdc
- 14:07:46.728 INFO: LockingRange0 set to LK
#sedutil-cli --setmbrdone off debug /dev/sdc
- 14:08:21.999 INFO: MBRDone set off
#gunzip /usr/sedutil/UEFI64-1.15.img.gz
#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.img /dev/sdc
- 14:10:55.328 INFO: Writing PBA to /dev/sdc
33554432 of 33554432 100% blk=1500
- 14:14:04.499 INFO: PBA image /usr/sedutil/UEFI64.img written to /dev/sdc
#

Повторная проверка PBA

Введите команду linuxpba и используйте фразу-пароль «debug».
Второй тест позволяет проверить, что накопитель действительно разблокируется.

Ожидаемый вывод:

#linuxpba

DTA LINUX Pre Boot Authorization

Enter pass-phrase to unlock OPAL drives: *****
Scanning....
Drive /dev/nvme0 Samsung SSD 960 EVO 250GB    is OPAL NOT LOCKED
Drive /dev/sda  Crucial_CT250MX200SSD1    is OPAL NOT LOCKED
Drive /dev/sdb  Samsung SSD 850 EVO 500GB    is OPAL NOT LOCKED
Drive /dev/sdc  ST500LT025-1DH142    is OPAL Unlocked    IMPORTANT!!
Drive /dev/sdd  Samsung SSD 850 EVO 250GB    is OPAL NOT LOCKED

Убедитесь, что PBA разблокирует накопитель, должно быть указано «is OPAL Unlocked». Если это не так, то для удаления OPAL или отключения блокировки необходимо выполнить действия, описанные в конце этой страницы.

Настройка настоящего пароля

Пароли SID и Admin1 не обязательно должны совпадать, но это упрощает работу.

sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc

sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc

Ожидаемый вывод:

#sedutil-cli --setsidpassword debug yourrealpassword /dev/sdc
#sedutil-cli --setadmin1pwd debug yourrealpassword /dev/sdc
- 14:20:53.352 INFO: Admin1 password changed

Убедитесь, что вы ввели пароль правильно, проверив его.

sedutil-cli --setmbrdone on yourrealpassword /dev/sdc

Ожидаемый вывод:

#sedutil-cli --setmbrdone on yourrealpassword /dev/sdc
- 14:22:21.590 INFO: MBRDone set on

Теперь накопитель использует блокировку OPAL.
Теперь необходимо ПОЛНОСТЬЮ ОТКЛЮЧИТЬ ПИТАНИЕ СИСТЕМЫ.
Это блокирует накопитель, чтобы при перезапуске системы выполнялась загрузка в PBA.

Информация о восстановлении.

Если после включения блокировки возникла проблема, можно отключить блокировку или удалить OPAL, чтобы продолжить использование накопителя без блокировки.

Чтобы отключить блокировку и PBA, выполните следующие действия.

sedutil-cli -–disableLockingRange 0
sedutil-cli –-setMBREnable off

Ожидаемый вывод:

#sedutil-cli --disablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 disabled
#sedutil-cli --setmbrenable off debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set off

Можно повторно включить блокировку и PBA с помощью приведенной ниже последовательности команд.

sedutil-cli -–enableLockingRange 0
sedutil-cli –-setMBREnable on

Ожидаемый вывод:

#sedutil-cli --enablelockingrange 0 debug /dev/sdc
- 14:07:24.914 INFO: LockingRange0 enabled ReadLocking,WriteLocking
#sedutil-cli --setmbrenable on debug /dev/sdc
- 14:08:21.999 INFO: MBREnable set on

На некоторых накопителях OPAL имеется ошибка микропрограммы, которая стирает все данные при выполнении указанных ниже команд. Список протестированных пар накопителей/микропрограмм см. в разделе Удаление OPAL .

Чтобы удалить OPAL, выполните следующие команды.

sedutil-cli --revertnoerase
sedutil-cli --reverttper

Ожидаемый вывод:

#sedutil-cli --revertnoerase debug /dev/sdc
- 14:22:47.060 INFO: Revert LockingSP complete
#sedutil-cli --reverttper debug /dev/sdc
- 14:23:13.968 INFO: revertTper completed successfully
#

В начало