概要
sedutil-cliは、ハードウェアベースの暗号化を提供するSED(Self-Encrypting Drive)のセキュリティ機能を制御します。これにより、オペレーティングシステムから独立してドライブ全体を暗号化および管理できます。
主な機能
- SEDの有効化および無効化
- SID(Security Identifier)およびマスターパスワードの設定/変更
- MBR(Master Boot Record)保護の管理
- ロック範囲(Locking Range)の構成および制御
- ドライブのOpal状態および情報の照会
インストール
sedutil-cliはほとんどのLinuxディストリビューションにデフォルトで含まれていないため、パッケージマネージャーを通じてインストールする必要があります。
Debian/Ubuntu
sudo apt update && sudo apt install sedutil-cliAPTパッケージマネージャーを使用してインストールします。
RHEL/CentOS/Fedora
sudo dnf install sedutil-cliDNFまたはYUMパッケージマネージャーを使用してインストールします。EPELリポジトリが必要な場合があります。
手動インストール
一部のシステムでは、ソースコードを直接ダウンロードしてコンパイルする必要がある場合もあります。詳細については、sedutilの公式GitHubリポジトリを参照してください。
主なオプション
sedutil-cliは、さまざまな機能を実行するための複数のサブコマンド(オプション)を提供します。ほとんどのコマンドは、対象デバイスパスとパスワードを必要とします。
情報照会
パスワードと認証
ドライブ初期化(注意)
生成されたコマンド:
コマンドを組み合わせてみてください。
説明:
`sedutil-cli` コマンドを実行します。
これらのオプションを組み合わせて、AIと一緒に仮想的にコマンドを実行してみてください。
使用例
以下はsedutil-cliの一般的な使用例です。`<デバイス>`は`/dev/sda`、`/dev/nvme0n1`などの実際のドライブパスに置き換えてください。
ドライブのOpal状態の照会
sudo sedutil-cli --query /dev/nvme0n1指定されたドライブの現在のOpal状態およびロック情報を確認します。
SIDパスワードの設定
sudo sedutil-cli --setSIDPassword /dev/nvme0n1 <既存パスワード> <新規パスワード>新しいSIDパスワードを設定します。`<既存パスワード>`は、初期パスワード(通常は'NULL'または'msid')または以前に設定したパスワードです。
MBR保護の有効化
sudo sedutil-cli --setMBRDone /dev/nvme0n1 <パスワード>MBR保護を有効にし、ドライブが起動時にロックされるようにします。`<パスワード>`はSIDパスワードです。
ドライブのOpal情報のリスト表示
sudo sedutil-cli --listOpalInfo /dev/nvme0n1ドライブがサポートするOpal機能およびバージョンに関する詳細情報を表示します。
ヒントと注意事項
sedutil-cliは強力なツールであるため、使用時には細心の注意が必要です。誤った使用はデータ損失につながる可能性があります。
重要な考慮事項
- **データバックアップ:** すべてのsedutil-cli操作を実行する前に、必ず重要なデータをバックアップしてください。
- **正確なデバイスの特定:** `lsblk`または`fdisk -l`コマンドを使用して、操作対象のドライブの正確なパスを確認してください。誤ったデバイスにコマンドを実行すると、データが失われる可能性があります。
- **パスワード管理:** 設定したパスワードは安全に保管してください。パスワードを紛失すると、ドライブのデータにアクセスできなくなり、復旧が不可能になる場合があります。
- **`--revertTPer`コマンド:** このコマンドは、ドライブのすべてのデータを永続的に削除し、工場出荷時の状態に戻します。極めて慎重に使用してください。
- **BIOS/UEFI設定:** 一部のSED機能は、システムのBIOS/UEFI設定(例:Secure Boot、SATAモード)によって動作が異なる場合や、追加設定が必要な場合があります。