[[Vorlage(Getestet, precise, )]] {{{#!vorlage Wissen [:Terminal: Ein Terminal öffnen] [:sudo: Root-Rechte] }}} [[Inhaltsverzeichnis(3)]] {{{#!vorlage hinweis Dieser Artikel ist Teil der Artikelserie '''[:SSD:]''', welche das Thema [wikipedia:Solid_State_Drive:Solid State Drives] behandelt. Dieser Artikel geht in allen Beschreibungen davon aus, dass die SSD als '''/dev/sda''' im System eingebunden ist. Die Befehle müssen bei davon abweichenden Systemen daher gegebenenfalls angepasst werden. }}} [[Bild(Wiki/Icons/SSD.png, 64, align=left)]] Das Zurücksetzen in den Ursprungszustand kann sinnvoll sein, wenn man das Gefühl hat, dass die SSD mit der Zeit langsamer wird. Vor einer [:Partitionierung:] und einem [:Formatieren:] sollte man die SSD ebenfalls einem „Secure Erase“ unterziehen. Damit werden alle Blöcke der SSD vom Controller gelöscht, was die Performance der SSD steigert. Möchte man eine SSD in den Ursprungszustand („Factory Default“) zurückversetzen, kann man grundsätzlich zwischen zwei Verfahren wählen: 1. [#Loeschen-mit-Secure-Erase Löschen im Terminal mit hdparm]: Aus einer Konsole heraus über [wikipedia:hdparm:]. Kann wegen des [#Exkurs-Freeze-Status-der-SSD-aufheben Freeze-Status Problems] schwierig sein. 1. [#Loeschen-mit-PartedMagic-Erase-Disk Löschen mit „PartedMagic Live-CD“]: Einfacher und nicht so aufwändig wie hdparm. Man benötigt eine „PartedMagic Live-CD“ und deren Bordwerkzeuge. {{{#!vorlage Hinweis Einen „Secure Erase“ muss man bei aktuellen Ubuntuversionen nicht mehr explizit durchführen, möchte man neu installieren oder partitionieren (inklusive Formatierung). Bevor die eingesetzten Formatierungsprogramme wie [wikipedia_en:E2fsprogs:e2fsprogs] die Dateisystemstrukturen einrichten, melden diese der SSD den gesamten formatierten Bereich per Discard als ungenutzt: ''„Mke2fs will use BLKDISCARD to pre-discard all blocks on an SSD…“'' (siehe [http://e2fsprogs.sourceforge.net/e2fsprogs-release.html#1.41.10 e2fsprogs 1.41.10] {en} ) }}} = Löschen mit Secure Erase = Um das Löschen durchführen zu können, darf die SSD nicht eingebunden (siehe [:mount:]) sein, weshalb man von einer [:Desktop-CD:Live-CD] oder einem [:Live-USB:] booten muss. {{{#!vorlage warnung Durch Secure-Erase und Partitionierung gehen alle Daten des betreffenden Laufwerks verloren. Es sollten vor allen weiteren Aktionen aktuelle [:Datensicherung:Backups] angelegt werden. }}} {{{#!vorlage hinweis Die SSD sollte ''direkt'' am [wikipedia:Serial_ATA:SATA]-Controller des Rechners angeschlossen sein. Suboptimal sind USB- und Firefire-Anschlüsse sowie Anschlüsse am Hardware-[wikipedia:RAID:]-Controller. Beim Einsatz eines [wikipedia:SCSI/ATA_Translation:SCSI/ATA Translation] in Verbindung mit dem Befehl [wikipedia:hdparm:] wird '''hdparm''' mindestens in Version 9.31 vorausgesetzt (erst ab Ubuntu 11.04). }}} Im ersten Schritt muss man in einem Terminal [1] und mit Root-Rechten [2] nachschauen, ob die „Laufwerk-Security“ nicht „frozen“ ist. Dies geschieht mit dem folgenden Befehl: {{{#!vorlage befehl sudo hdparm -I /dev/sda }}} Die Ausgabe ist etwas länger. Ziemlich weit unten unter der Überschrift "Security" könnte so etwas wie folgt stehen: {{{Security: supported [mark]not enabled[/mark] [mark]not locked[/mark] [mark]not frozen[/mark] not expired: security count [mark] supported: enhanced erase[/mark] 400min for SECURITY ERASE UNIT. 400min for ENHANCED SECURITY ERASE UNIT.}}} Wichtig sind hier die gelb-markierten Bereiche. Stehen diese auf `frozen` statt auf `not frozen` oder auf `not supported: enhanced erase` statt auf `supported: enhanced erase`, so kann man ''nicht'' fortfahren. Stattdessen sollte man sich beim Hersteller der SSD erkundigen, wie man diese Option freischalten kann (siehe auch [#Exkurs-Freeze-Status-der-SSD-aufheben Exkurs: Freeze-Status der SSD aufheben]). Den anderen gelben Bereich `not enabled` schaltet man mit dem nächsten Schritt auf `enabled`. Dazu muss man ein Passwort setzen. Die Security-Funktion `not enabled` ist danach aktiviert (`enabled`). Das Passwort selbst ist an keinerlei Vorgaben gebunden und wird auch nur temporär benutzt; nach dem „Secure Erase“ wird das Passwort gelöscht und der Status zurück auf `not enabled` gesetzt. Das Passwort im folgenden Befehl lautet `GEHEIM`. {{{#!vorlage befehl sudo hdparm --user-master u --security-set-pass GEHEIM /dev/sda }}} Die Ausgabe nach dem folgenden Befehl sieht in etwas wie folgt aus: {{{security_password="GEHEIM" /dev/sda: Issuing SECURITY_SET_PASS command, password="GEHEIM", user=user, mode=high}}} Danach sollte man auf jeden Fall nachschauen, ob das Setzen des Passwortes und des Status geklappt hat. Dazu gibt man erneut den ersten Befehl ein: {{{#!vorlage befehl sudo hdparm -I /dev/sda }}} Und sollte daraufhin die folgende Ausgabe erhalten: {{{Security: [mark]Master password revision code = 65534[/mark] supported [mark]enabled[/mark] not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.}}} {{{#!vorlage hinweis Man sollte nach diesem Kommando den Rechner möglichst nicht neu starten, da die SSD nach einem Neustart erneut `locked` ist und dies so lange bleibt, bis sie mit dem korrekten Passwort entsperrt wird. Die Security-Funktion wird nach dem „Secure Erase“ automatisch und vollständig deaktiviert (von `enabled` nach `not enabled`). }}} Ist nun alles korrekt, kann man mit dem „Secure Erase“ beginnen. Dazu nutzt man den folgenden Befehl: {{{#!vorlage befehl sudo time hdparm --user-master u --security-erase GEHEIM /dev/sda }}} Die Ausgabe könnte wie folgt aussehen: {{{security_password="GEHEIM" /dev/sda: Issuing SECURITY_ERASE command, password="GEHEIM", user=user 0.000u 0.000s 1:53.32 0.0% 0+0k 0+0io 0pf+0w}}} Das Löschen hat in diesem Fall eine Minute und 53 Sekunden gedauert. Der Test wurde mit einer 160 Gigabyte SSD durchgeführt, was bedeutet, dass er bei einer SSD mit mehr Kapazität deutlich länger dauern kann. Nach erfolgreichem Löschen sollte die Security-Funktion der SSD automatisch wieder deaktiviert werden (von `enabled` nach `not enabled`). Dies überprüft man erneut mit dem ersten Befehl: {{{#!vorlage befehl sudo hdparm -I /dev/sda }}} Die Ausgabe sollte wie folgt aussehen (`not enabled`): {{{Security: supported [mark]not enabled[/mark] not locked not frozen not expired: security count supported: enhanced erase 400min for SECURITY ERASE UNIT. 400min for ENHANCED SECURITY ERASE UNIT.}}} Sollten Fehlermeldungen auftauchen, kann man im [https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase#Known_issues ATA-Wiki] {en} nachschauen. == Exkurs: Freeze-Status der SSD aufheben == Viele [wikipedia:BIOS:] blocken aus Sicherheitsgründen das „ATA Secure Erase“-Kommando. Dieses BIOS-Kommando blockt das Laufwerk („freezed“) bevor es Ubuntu bootet, so dass man nicht fälschlicherweise oder aus Versehen das Secure-Erase-Verfahren durchführen kann. {{{#!vorlage warnung In seltenen Fällen können die nachfolgenden Verfahren zum Absturz des [:Kernel:Kernels] führen, daher wird empfohlen die folgenden Schritte von einer LiveCD aus zu machen. Im Falle eines Absturzes sollte man das ganze System vollständig rebooten lassen und noch einmal von vorne probieren. }}} === Desktops === Eine [https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase mögliche Lösung] {en} für [wikipedia:Serial_ATA:SATA]-Laufwerke besteht darin, die SSD kurz vom laufenden System zu trennen. Nachdem man alle Dateisysteme, LVMs und Crypt-Container ausgehängt hat, geht man folgendermaßen vor: {{{#!vorlage befehl echo 1 | sudo tee /sys/block/sdX/device/delete }}} Damit wurde die SSD sicher vom System entfernt. Anschließend zieht man im laufenden Betrieb das Datenkabel der betroffenen SSD und steckt es dann wieder ein (siehe [wikipedia:Hot_Swapping:Hot Plugging]). Bei manchen SSDs, wie zum Beispiel der Samsung SSD 830, reicht es nicht nur das SATA-Datenkabel abzustecken. In diesem Fall muss auch das Stromkabel getrennt werden. Dazu geht man wie oben gennant vor, nur das man nach dem entfernen des Datenkabel auch noch das Stromkabel abzieht. Danach schließt man die SSD in umgekehrter Reihenfolge wieder an, also zuerst das Stromkabel und dann das Datenkabel. Spätestens dann sollte die SSD nicht mehr im Freeze-Zustand sein. Im freien Handel soll es angeblich billige SSDs geben, die vom Hersteller in den Freeze-Zustand gesetzt werden. In diesem Fall muss man sich an den Hersteller wenden. === Notebooks === Wie auch bei den Desktop-Systemen, sollte man vor dem Herausziehen der SSD diese mit folgendem Befehl sicher vom System abmelden: {{{#!vorlage befehl echo 1 | sudo tee /sys/block/sdX/device/delete }}} Da die SSD bei Laptops über keinerlei erreichbaren Kabel verfügt, hilft es, die SSD für zehn Sekunden aus dem Festplattenschacht zu ziehen, so dass sie keine Verbindung mehr zum Computer hat. Danach steckt man sie wieder ein und kann in den meisten Fällen mit nicht gelocktem Laufwerk fortfahren. Alternativ hilft es bei vielen Modellen, das Notebook erst einmal in den Standby (nicht Hibernate/Ruhezustand) zu versetzen und wieder aufzuwecken, danach ist die SSD nicht mehr "frozen". Dieses Verfahren wurde erfolgreich mit Laptops von HP und Lenovo getestet (siehe [https://ata.wiki.kernel.org/articles/a/t/a/ATA_Secure_Erase_936d.html#Step_1a_-_Command_Output_.28should_display_.22not_frozen.22.29: Linux ATA wiki] {en} ). = Löschen mit PartedMagic Erase Disk = Um das Verfahren mit Hilfe der Live-CD durchführen zu können, muss man von der dem Zielrechner entsprechenden Version von [:Parted_Magic:] booten. == Disk Erasing 101 == 1. Im Startmenü ''"System Tools → Erase Disk'' wählen, um ''Disk Erasing 101'' zu starten. 1. Im ersten Dialog die Option ''"Internal: Secure Erase command writes..."'' auswählen und mit ''Continue'' bestätigen. 1. Der zweite erscheinende Dialog zeigt die unterstützten Laufwerke an, hier muss das gewünschte Laufwerk selektiert werden. Mit ''OK'' gelangt man zu weiteren Dialogen. 1. Sofern sich die SSD im "Frozen"-Status befindet, erscheint ein Dialog, der vorschlägt den Rechner schlafen zu legen, da anderenfalls Security-Erase nicht durchgeführt werden kann. Wenn nicht kann gleich mit Schritt 6 fortgefahren werden. 1. Mit dem Button ''Sleep'' wird der Rechner in den Schlafmodus versetzt, er kann dann gleich wieder aufgeweckt werden. Die Schritte 1-3 müssen nochmals durchlaufen werden. 1. Beim nun erscheinenden Dialog wird ein Passwort abgefragt, hier kann man den Standardeintrag "NULL" stehen lassen. Nach ''OK'' folgt eine Sicherheitswarnung. 1. Es taucht nun, sofern von der SSD unterstützt, eine Frage nach "Enhanced Secure Erase" auf, wo man sich ebenfalls entscheiden kann. Nach Bestätigung startet der Vorgang. 1. Nach erfolgter Operation erscheint ein Infodialog und die SSD ist wieder bereit. Jetzt kann die SSD direkt mit [:GParted:] partitioniert werden. Da auch die Partitionstabelle entfernt wurde, muss diese als erstes wieder neu angelegt werden. = Links = * Weiterführende Informationen zu „Secure Erase“: * [https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase ATA Secure Erase im ata.wiki.kernel.org] {en} * [http://www.ocztechnologyforum.com/forum/showthread.php?68459-Vertex-stuck-in-Frozen-state&p=484652&viewfull=1#post484652 ocztechnologyforum.com: Vertex stuck in Frozen state] {en} * [http://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase thomas-krenn.com: SSD Secure Erase] {de} * [https://wiki.archlinux.org/index.php/SSD_Memory_Cell_Clearing wiki.archlinux.org: SSD Memory Cell Clearing] {en} * [https://skrilnetz.net/?page_id=1058 The Truth About – How To Securely Erase a SOLID STATE DRIVE] {en} #tag: Hardware, System, Sicherheit