[gelöst] SSD ATA Password (BIOS)

[lisanisu]

Als auf meiner kleinen Gurke noch Debian 7.7 Installiert war habe ich im BIOS ausversehen das HDD Passwort gesetzt. Trotz deaktivierung kurz danach wird jetzt immer nach dem Passwort gefragt. Im BIOS ist die Option zu 100% Ausgeschaltet.

Das eigentliche Problem ist das wenn Debian in den Standbay geht sich die HDD (SSD) Abschaltet, und beim Aufwachen dann nichts mehr geht da die HDD dann ein Passwort haben möchte. Debian zeigt das Eingabefeld jedoch nicht an...

Die Festplatte läuft über IDE nicht über AHCI

Wie bekomme ich den Scheiss von der Platte bezüglich der Passwort Abfrage?

System siehe Signatur

[rendegast]

Testweise die Platte in einen anderen Rechner hängen,
ob die Platte dort (ohne Paßwort) anläuft.

Wie ist es mit einer anderen Platte an diesem Port?


Falls das BIOS nur ein Frontend für ein rein plattenbasiertes Paßwort-Feature war:
Ich denke an das 'ATA Security Feature Set' (man hdparm).
Die Anwendung ist etwas kryptisch, siehe Beispiele zum "security erase" im google.

Showstopper bei installierten Systemen könnte ein immer häufiger defaultmäßiges "security freeze" vieler Distributionen sein (um den Plattenzugriff vor malware zu schützen),
daher eventuell eine live Distri wie grml bemühen.


Sollte es sich um ein reines BIOS-Ding handeln,
wäre ein BIOS-Fehler in Betracht zu ziehen.
BIOS-Upgrade, BIOS-Reset?


Es gibt auch Paßwort-Schutz, der in BIOS und Platte (Elektronik und/oder Oberfläche) hinterlegt wird.
Eine so gesicherte Platte kann nur in diesem Rechner zugreifbar sein.
(wohl häufig bei ebay-Platten aus geklauten notebooks)



Vor den Versuchen sollte ein Vollbackup/Image der Platte genommen werden,
da die Aktionen in einem vollständigen Zugriffsverflust enden könnten.

[smutbert]

Showstopper bei installierten Systemen könnte ein immer häufiger defaultmäßiges "security freeze" vieler Distributionen sein (um den Plattenzugriff vor malware zu schützen),

Das macht auf vielen Systemen bereits das BIOS (oder UEFI), zB auch bei mir. Wenn sich der (oder das?) Security Freeze im BIOS-Setup nicht abstellen läßt, hilft es nur noch die Platte/SSD erst im laufenden Betrieb anzuhängen, was allerdings vielleicht (?) ohne AHCI keine so gute Idee ist.

[lisanisu]

Wie ist es mit einer anderen Platte an diesem Port?

Das funktioniert dann ohne Abfrage, Die SSD Bootet dann durch!

Mangels anderer Hardware kann ich nicht Wechseln, ist aber auch ein erheblicher Aufwand das AOHAPPY zu Zerlegen. An die Festplatte kommt man nur über den Ausbau der Tastatur heran.

ATA Security Feature Set

Das wird es sein denke ich mal so, ich hatte gehofft das durch eine Neuinstallation von Debian 7.7 -> 8.0 durch das HDD Formatieren es Abgeschaltet wird... ist aber nicht so.

Gibt es bei Debian ein Tool womit man das Passwort oder die Abfrage abschalten kann?

[smutbert]

Wie rendegast geschrieben hat…

Ich denke an das 'ATA Security Feature Set' (man hdparm)

mit hdparm. Damit du das Paßwort deaktivieren kannst musst du nur
- erstens das Paßwort kennen und
- zweitens dafür sorgen, dass beim Boot kein Security Freeze stattfindet, der jegliche Änderungen an solchen Einstellungen verhindern würde. Am einfachsten erreicht man das meiner Erfahrung nach, indem man die Platte/SSD im laufenden Betrieb an einen (hotplugfähigen) SATA-Port eines Rechners hängt und gleich danach den Paßwortschutz mit hdparm abschaltet.

Die Ausgabe von

Code: Alles auswählen

hdparm -I /dev/Gerätedatei

(unter Security) sollte die momentane Situation zeigen.

[lisanisu]

Code: Alles auswählen

hdparm -I /dev/Gerätedatei

und das geht nur beim Booten oder kann ich das auch jetzt Versuchen?
Im Schlimmsten fall muss ich Debian Neu-Installieren oder?

Natürlich kenne ich das Passwort, sonnst könnte ich hier nicht Schreiben. (Habs ja selber reingemacht von daher...)

Achja Passwort ändern geht nicht, er nimmt das neue Passwort an sagt das es OK ist -> BIOS Speichern und dann Neustarten und siehe da Password immer noch das selbe.

[smutbert]

Dass es im BIOS nicht funktioniert, hast du ja schon geschrieben. Wenn du es trotzdem unbedingt mit dem BIOS machen willst, könntest du auch nach einem BIOS-Update suchen, ob das aber das Problem beseitigt, müsstest du wohl ausprobieren.

Mit hdparm sollte es dagegen auf jeden Fall funktionieren, wenn man es gegebenenfalls einmal geschafft hat den Security Freeze zu umgehen.

hdparm -I zeigt erst einmal nur Informationen an und kann immer ausgeführt werden. In dem Fall ist vor allem interessant, ob tatsächlich das Paßwort des ATA Security Feature Set gesetzt ist und ob das System beim Boot den Security Freeze gemacht hat oder nicht.

[lisanisu]

Code: Alles auswählen

Security: 
	Master password revision code = 65534
		supported
		enabled
	not	locked
		frozen
	not	expired: security count
	not	supported: enhanced erase
	Security level high
	20min for SECURITY ERASE UNIT. 400min for ENHANCED SECURITY ERASE UNIT. 
Logical Unit WWN Device Identifier: 5e83a973f3936b6c
	NAA		: 5
	IEEE OUI	: e83a97
	Unique ID	: 3f3936b6c
Checksum: correct

Daraus werde ich nicht schlau... vieleicht kennt sich ja jemand aus.

[smutbert]

Code: Alles auswählen

Security: 
   Master password revision code = 65534
      supported
      enabled
   not   locked
      frozen
…

ist nicht so schwer:

- "supported" heißt, dass das "Security Feature Set" unterstützt wird
- "enabled", dass das Paßwort gesetzt ist.
- "not locked", dass die Platte/SSD beim Systemstart entsperrt wurde, entweder durch eine manuelle Paßworteingabe von dir oder weil zB das BIOS das Paßwort gespeichert hat und es selbst „automatisch eingibt“.
- "frozen", dass der Datenträger wie üblich beim Systemstart mit dem Security Freeze vor Änderungen an den Einstellungen geschützt wird.

Also musst du, wie vermutet, als allererstes eine Möglichkeit finden, die SSD mit hdparm im "nicht eingefrorenen" Zustand anzusprechen, wie gesagt etwa in dem du von einer Live-CD startest und sie erst im laufenden Betrieb anstöpselst, wobei es dann natürlich gut oder sogar notwendig ist, dass der Rechner an dem du das machst über einen hotplugfähigen SATA-Port verfügt. Wenn du das geschafft hast, kannst du einfach mit hdparm das Paßwort deaktivieren:


Ganz allgemein bietet das ATA Security Feature Set folgende Befehle
- SECURITY SET PASSWORD
- SECURITY UNLOCK
- SECURITY ERASE PREPARE
- SECURITY ERASE UNIT
- SECURITY FREEZE LOCK
- SECURITY DISABLE PASSWORD

Freeze Lock ist der Security Freeze. Security Unlock das "Aufsperren" Festplatte mit dem Passwort. Los wird man das Paßwort afaik nur mit den Kommandos "disable password" und dem security erase, der das Laufwerk darüber hinaus in den Werkszustand zurückversetzt, also auch alle Daten löschen sollte.


Wenn du beim Deaktivieren des Paßwortschutzes mit der manpage von hdparm nicht zurande kommst, gibt es im Wiki auch einen hilfreichen Artikel: https://wiki.debianforum.de/Hdparm#Security
(Der Befehl, den du suchst heißt in hdparm --security-disable, nachdem außerdem das Master-Paßwort gesetzt sein dürfte, wird obendrein die Option --user-master m notwendig sein, also etwa

Code: Alles auswählen

hdparm --user-master m --security-disable meinPaßwort /dev/Gerätedatei

habe ich aber noch nie gemacht, also lies dir bitte sicherheitshalber auch selbst noch die manpage von hdparm durch)

[lisanisu]

Auf der Hestellerseite von OCZ gab es für die Verbaute Vertex4 SSD ein Boot-Image welches ich mal geladen habe (127MB). Auf der Hoffnung mittels eines Firmware Updates die Security Funktion zum schweigen zu bekommen. Und genau wegen diesem Security Quatsch kann ich kein Firmware Update des Laufwerks machen.
1.4.x -> 1.5.2

Das Einzigste was Funktioniert hat war die Security Löschung des Laufwerks... damit war dann auch meine Debian Installation wech

Aber das Image hat noch mehrere Tools dabei u.a. auch ein Terminal wo ich dann alles was "hdparm" hergibt getestet habe, aus frust darüber alles Wild durcheinander. Nach dem "hdparm" mir dann immer den gleichen Fehler angezeigt hat hab ich einen Neu-Start versucht... und siehe da die Abfrage nach dem Passwort taucht nicht mehr auf.

Im Bios steht jedoch immer noch HDD Security "Frozen" was mir momentan jedoch vollkommen Wumpe ist. Funktioniert ja wieder...

Danke für die Hilfe und den Tipp's (hdparm)

[smutbert]

[…]
Im Bios steht jedoch immer noch HDD Security "Frozen" was mir momentan jedoch vollkommen Wumpe ist.[…]

Das ist gut so. Wie gesagt, ohne Freeze könnte ein Angreifer oder eine Malware einfach irgendein Paßwort setzen (wäre ja nicht das erste Mal, dass Lösegeld für die eigenen Daten auf der eigenen Festplatten verlangt wird, auch wenn meines Wissens noch niemand das ATA-Paßwort für so etwas gentutzt hat).

Das Firmware-Update wird durch den Security Freeze aber nicht verhindert oder?

[lisanisu]

Doch wird es!

Ich konnte kein Firmware Update machen, er hat es Down- geladen und dann mit einem Error Abgebrochen.
Das Tool hat ja die SSD Richtig erkannt als Vertex4, somit nehme ich mal an das er dann auch die richtige Firmware Downloaded.

Es sei denn der Firmware Updater macht nur müll...

Ich kann das ja noch mal Probieren und den Screen dann mal Posten von dem Error.

Vieleicht liegt es aber auch nur am ATOM Chipsatz oder daran das die SSD im IDE Modus läuft da sie bei AHCI nur Fehlermeldungen ballert. Die Firmware 1.5.2 soll angeblich die zusammenarbeit mit älteren Chipsätzen verbessern. (NM10/ICH7 ist doch schon etwas älter)

-------UPDATE------

Error: Update rejected by device

Das ist die Fehlermeldung!

[mrbraindead]

Hallo

ich habe bei einer ähnlichen Geschichte ein Problem.
Ich habe 4 uralte HHDs aus einem Server. Die sind auch auf diese Art mit eine Passwort geschützt. Dieses kenne ich nicht!
An die Daten muss ich auch nicht heran. Alles was gemacht werden soll ist die HDD komplett mit nullen überschreiben mittels dd und sie dann demontieren und weg werfen, da dort äußerst sensible Daten drauf waren.
Klar kann ich die auch mechanisch zerstören und würde das im Zweifelsfall auch tun. Aber ich würde gerne wissen, ob es auch möglich ist dieses PW irgendwie zu überschreiben oder was weiss ich.

[rendegast]

@mrbraindead
Aus der Bucht Platten desselben Typs besorgen und die Platine tauschen.
Wenn der Schutz nicht mit einem Teil auf den Platten korrespondiert, sollte das funktionieren.
Eventuell auch in einem anderen Rechner.

Das Firmware-Update wird durch den Security Freeze aber nicht verhindert oder?

Doch wird es!

Falls das mithilfe von hdparm geschieht,
so könnte cmdline 'nohdparm' den freeze unterbinden. Siehe
/etc/init.d/hdparm
/lib/udev/hdparm
(jedoch sollte das ohne entsprechende Einstellungen in hdparm.conf ja auch nicht passieren)
kernel-Parameter diesbezüglich finde ich nicht https://www.kernel.org/doc/Documentatio ... meters.txt.

Vielleicht in einem extern-Gehäuse erst nach dem Start anstecken?
Jedoch möchte ich ein Platten-firmware-Upgrade auch nicht über extern durchführen müssen.

failback wäre ein Versuch mit einer live-CD.

Ein durch BIOS ausgelöster security-freeze hätte vielleicht einen Schalter im BIOS.

Eine sata-Platte könnte bei laufendem Rechner in /sys/ deaktiviert (!) und abgezogen werden, dann stromlos.
Dann wieder anstecken sollte die sata "not frozen" sein.

[mrbraindead]

@rendegast
das original Board ist leider nicht mehr...
Ich habe also nur die Möglichkeit die HHDs in einem anderen PC zu killen.