1と2のリビジョン間の差分
2018-07-23 17:15:29時点のリビジョン1
サイズ: 5943
編集者: NorikatsuShigemura
コメント:
2018-07-23 22:39:07時点のリビジョン2
サイズ: 7656
編集者: NorikatsuShigemura
コメント:
削除された箇所はこのように表示されます。 追加された箇所はこのように表示されます。
行 6: 行 6:
 * [[http://groovy.ne.jp/products/hddset/ud_3000sa.html|UD-3000SA]] USB3・SATA変換装置  * [[http://groovy.ne.jp/products/hddset/ud_3000sa.html|UD-3000SA]] USB3・SATA変換
行 8: 行 8:
 * もちろん直接SATA接続した上でSATAドライブ(/dev/ada0)として見えてもよい。
 * つないだ時のデバイス名に注意して da0 を読み替えてください。		  * もちろん直接SATA接続した上でSATAドライブ(/dev/adan)として見えてもよい。
 * デバイス接続時のデバイス名に注意して da0 を読み替えること。

=== デバイス接続時のカーネルメッセージ例 ===
{{{
ugen0.2: <UD-3000SA UD-3000SA> at usbus0
umass0 on uhub0
umass0: <UD-3000SA UD-3000SA, class 0/0, rev 3.00/4.27, addr 2> on usbus0
umass0: SCSI over Bulk-Only; quirks = 0x8100
umass0:2:0: Attached to scbus2
da0 at umass-sim0 bus 0 scbus2 target 0 lun 0
da0: <UD3000SA 0427> Fixed Direct Access SPC-4 SCSI device
da0: Serial Number 20150331008EF
da0: 400.000MB/s transfers
da0: 228936MB (468862128 512 byte sectors)
da0: quirks=0x2<NO_6_BYTE>
}}}

 * umass に「UD-3000SA」の文字列があること。
 * da0 に「UD3000SA」の文字列があること。
 * SATA接続の場合、adan に直接SSDの文字列が表示される。
行 16: 行 35:
{{{camcontrol security da0 -U user -e パスワード}}} コマンドの実行でバッチリだ!(嘘) {{{camcontrol security da0 -U user -e パスワード}}}の実行でバッチリだ!(嘘)
行 51: 行 70:
実はこのままでは、セキュアEraseでは実施できず、以下のコマンドで「enabled yes」に変更する必要がある。 このままでは、セキュアEraseでは実施できず、以下のコマンドで「enabled yes」に変更する必要がある。
行 60: 行 79:
この結果、以下のように変わる。 この結果、以下のように表示が変わる。
行 91: 行 110:
== つまりコマンド実行 == == つまりコマンド実行するなら ==
行 110: 行 129:
見てのように「yes」「no」を聞いてくるので、確認不要なら「-y」オプションを合わせて付けてやる。 見てのように「yes」「no」を聞いてくるので、確認不要(バッチモード)なら「-y」オプションを加えとよい
行 123: 行 142:
「-e」「-s」「-y」のオプション指定の順番に制限は無い。好きな順序で指定してかまわない。
行 128: 行 148:
A.SanDisk曰く「sandisk123」が設定されてる。他のベンダーは?「不明」。
行 130: 行 149:
 * 仕様がよわかっけど、設定されので「設定してから」「消す」みたいなオペレーションになるんでないかな
 * 最初から設定されてる装置があるかは不明。
 * 勝手に設定するソフトウェアがあるのでこの手のツールを使用するときは注意。
 * {{{camcontrol security}}} はこの手のツールではあるが、パスワードを常に要求するので意識すること。		 A.!SanDisk曰「!SanDisk SSD Dashboard」では「sandisk123」を設定している。

 * パスワードを設定し「セキュリティ機能を有効化」した後、「消去」、消去が完了すると「セキュリティ機能を無効化」するとオペレーションになります
 * 最初から設定されてる装置があるかは不明。設定したまま放置されることはあるみたい。
 * あと、勝手に設定するソフトウェアがあるのでこの手のツールを使用するときは注意。
 * {{{camcontrol security}}}」は「この手のツールではあるが、パスワードを常に要求するので意識すること。
行 137: 行 158:
処理に失敗した場合回復処理が必要なので、その時パスワードが必要。 処理に失敗した場合回復処理の時パスワードが必要となるので、覚えておく必要がある
行 142: 行 163:
   * [[http://chocs.hatenablog.com/entry/2006/10/10/060104|HDDパスワード]]
 * [[https://qiita.com/mzaki/items/446e081ef5e4e58cc196|FreeBSDでNVMeディスクを低レベルフォーマットする]]
 * [[http://ch.nicovideo.jp/lunaorbit/blomaga/ar1498687|セキュアイレース(Secure Erase)に TxBENCH は絶対に使うな【ATA Password】]]
 * [[https://qiita.com/nvsofts/items/f46c8a1b3541894ad382|SSDをSecure Erase機能で安全に消去する]]
 * [[https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase|ATA Secure Erase]]
 * [[http://decomo.info/wiki/freebsd/freebsd_secure_erase_with_camcontrol|FreeBSDのcamcontrolでSecure Eraseする]]

セキュアErase

目次

  1. セキュアErase
    1. 想定環境
      1. デバイス接続時のカーネルメッセージ例
    2. 目的
    3. コマンド実行
    4. つまりコマンド実行するなら
  2. よくある質問とその答え
    1. Q.パスワードは何を設定すればいいですか?
    2. Q.パスワード毎回設定するなら覚えなくていいのでは?
  3. 参考文献

想定環境

  • FreeBSD 11.2-R

  • UD-3000SA USB3・SATA変換器

  • ここでは、USB・SATA変換器に接続したSSDがUSBドライブ(/dev/da0)として見えるものとする。
  • もちろん直接SATA接続した上でSATAドライブ(/dev/adan)として見えてもよい。
  • デバイス接続時のデバイス名に注意して da0 を読み替えること。

デバイス接続時のカーネルメッセージ例

ugen0.2: <UD-3000SA UD-3000SA> at usbus0
umass0 on uhub0
umass0: <UD-3000SA UD-3000SA, class 0/0, rev 3.00/4.27, addr 2> on usbus0
umass0:  SCSI over Bulk-Only; quirks = 0x8100
umass0:2:0: Attached to scbus2
da0 at umass-sim0 bus 0 scbus2 target 0 lun 0
da0: <UD3000SA  0427> Fixed Direct Access SPC-4 SCSI device
da0: Serial Number 20150331008EF
da0: 400.000MB/s transfers
da0: 228936MB (468862128 512 byte sectors)
da0: quirks=0x2<NO_6_BYTE>
  • umass に「UD-3000SA」の文字列があること。
  • da0 に「UD3000SA」の文字列があること。
  • SATA接続の場合、adan に直接SSDの文字列が表示される。

目的

  • 手持ちのSSDでセキュアErase(Secure Erase)を試してみる。
  • クリアされることの確認および実施に当たっての注意点を探る。

コマンド実行

camcontrol security da0 -U user -e パスワード」の実行でバッチリだ!(嘘) 

# camcontrol security da0 -U user -e パスワード
pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers
camcontrol: Can't secure erase (security is disabled)

実はこれを実行する前に、以下のコマンドを実行してセキュアEraseできるか確認する。 

camcontrol security da0

たとえば SanDisk Extreme Pro SSD(SDSSDXPS-240G)の場合、以下の結果が得られる。 

pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers

Security Option           Value
supported                 yes
enabled                   no
drive locked              no
security config frozen    no
count expired             no
security level            high
enhanced erase supported  yes
erase time                2 min
enhanced erase time       18 min
master password rev       fffd

上記結果から「enabled no」であることが確認できる。 このままでは、セキュアEraseでは実施できず、以下のコマンドで「enabled yes」に変更する必要がある。 

# camcontrol security da0 -U user -s パスワード
pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers
Issuing SECURITY_SET_PASSWORD password='パスワード', user='user', mode='high'

この結果、以下のように表示が変わる。 

pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers

Security Option           Value
supported                 yes
enabled                   yes
drive locked              no
security config frozen    no
count expired             no
security level            high
enhanced erase supported  yes
erase time                2 min
enhanced erase time       18 min
master password rev       fffd

上記状態で再度実行すると、以下のように成功する。 

# camcontrol security da0 -U user -e パスワード
pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers
Issuing SECURITY_ERASE_PREPARE
Issuing SECURITY_ERASE_UNIT password='パスワード', user='user'

Erase Complete

つまりコマンド実行するなら

-s オプションと -e オプションは同時に指定できるので、セキュアEraseするのに躊躇ないなら、以下のように実行できる。 

# camcontrol security da0 -U user -s パスワード -e パスワード
pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers

You are about to ERASE ALL DATA from the following device:
pass0,da0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device

Are you SURE you want to ERASE ALL DATA? (yes/no) yes
Issuing SECURITY_SET_PASSWORD password='パスワード', user='user', mode='high'
Issuing SECURITY_ERASE_PREPARE
Issuing SECURITY_ERASE_UNIT password='パスワード', user='user'

Erase Complete

見てのように「yes」「no」を聞いてくるので、確認不要(バッチモード)なら「-y」オプションを加えるとよい。 

# camcontrol security da0 -U user -s パスワード -e パスワード -y
pass0: <SanDisk SDSSDXPS240G X21200RL> ACS-2 ATA SATA 3.x device
pass0: 400.000MB/s transfers
Issuing SECURITY_SET_PASSWORD password='パスワード', user='user', mode='high'
Issuing SECURITY_ERASE_PREPARE
Issuing SECURITY_ERASE_UNIT password='パスワード', user='user'

Erase Complete

「-e」「-s」「-y」のオプション指定の順番に制限は無い。好きな順序で指定してかまわない。

よくある質問とその答え

Q.パスワードは何を設定すればいいですか?

A.結論を言えばてきとー。

A.SanDisk曰く「SanDisk SSD Dashboard」では「sandisk123」を設定している。

  • パスワードを設定して「セキュリティ機能を有効化」した後、「消去」、消去が完了すると「セキュリティ機能を無効化」するというオペレーションになります。
  • 最初から設定されてる装置があるかは不明。設定したまま放置されることはあるみたい。
  • あと、勝手に設定するソフトウェアがあるのでこの手のツールを使用するときは注意。

  • camcontrol security」は「この手のツール」ではあるが、パスワードを常に要求するので意識すること。

Q.パスワード毎回設定するなら覚えなくていいのでは?

A.大丈夫だ。問題無い・・・わけでもなく、正常に処理された場合は覚えておかなくてもなんとかなるけど、 処理に失敗した場合、回復処理の時にパスワードが必要となるので、覚えておく必要がある。

参考文献

FreeBSD/camcontrol security (最終更新日時 2022-01-25 16:36:33 更新者 NorikatsuShigemura)