【Dell Latitude 3420】Dell Recoveryを使ってUbuntu 20.04を再インストールしてLUKSによるディスクの暗号化を行った記録 #Ubuntu

Ubuntuでディスクの暗号化を行う必要が出てきた経緯

普段、仕事で利用しているPCはMacBook Pro(Intel)なのですが、社内で業務利用PCのUbuntu化のブームが起きてまして、自分も乗り遅れまいと「Dell Latitude 3420 - Build Your Own」というカスタマイズ可能なモデルでUbuntuがプリインストールされたPCをゲットしました。

しかし、「業務で利用する場合はハードディスクの暗号化を行ってくださいね」と会社からの通達が。まぁ、当然ですね。
紛失してハードディスクを引っこ抜いて復元されたら大変ですし、こんなことにはなりたくありません。

Ubuntuでディスクの暗号化を行うには

Latitude 3420を起動すると、言語、キーボード、タイムゾーン、アカウントなどの設定を行う画面が表示され、それらの設定が完了するとすぐに利用可能な状態となります。
この初期設定のタイミングでディスクの暗号化ができるかな？と思ってたんですが、どうやらできなさそうです。

ちょっと調べてみると、Ubuntuで暗号化を行う場合は、以下の2種類に分かれるようです。

ディレクトリ単位での暗号化
- eCryptfs
- EncFS
ディスク単位での暗号化
- LUKS(Linux Unified Key Setup)

「ディレクトリ単位での暗号化」を行って安心していると、うっかり暗号化していないディレクトリが漏洩する可能性があるので、今回やるべき対応は「ディスク単位での暗号化」となります。

今回のゴール

OSインストール後でもcryptsetupコマンドで頑張れば、ディスクの暗号化が行えるようですが少々手順が煩雑です。
もう少し調べてみると、今回プリインストール型のPCだったので目にすることがなかったのですが、どうやらUbuntuのインストールの際に暗号化を行うか否かの選択が可能なようです。

ということで、Ubuntuの再インストールを行えばよいということがわかりました。
しかし、今回はプリインストール型のPCなので素のUbuntuに対してアプリケーションやデバイスドライバなどDellのカスタマイズが入っている可能性があります。
というか入ってます。Dell製のアプリケーションがいくつかインストールされていたり、UEFIのブート時に工場出荷時に戻す仕組みがあったりします。

なので、今回の目指すべきゴールは「Dellの工場出荷時と同じ状態になるようにUbuntuの再インストールを行い、そのインストールの過程でディスクの暗号化を行う」ということになりました。

リカバリー用の起動ディスクを作成する

前置きが長くなりましたが、やるべきことがわかったのでここからは実際に手を動かしていきます。

DVDまたはUSBメモリに「工場出荷時と同じ状態」を再現してくれるDellのリカバリーシステムをインストールして起動ディスクを作成します。
今回はUSBメモリから起動することにしたので、バッファロー製のUSBメモリを準備しました。

まず、DellのwebサイトでリカバリーシステムのISOファイルをダウンロードします。
URLにアクセスすると以下のような画面が表示されるので、PC背面に記載されているサービスタグを入力します。

サービスタグを入力するとISOファイルがダウンロード可能になります。
「Ubuntu Recovery Image」として2つ表示されていますが、それぞれバージョンが異なるので新しいバージョンをダウンロードします。
※2022年1月23日時点では「3.65GB」の方が新しいバージョンでした。

以降の手順ではUbuntu上の「Dell Recovery」を利用しますが、Windows上でも起動ディスクが作成できるように「Dell OS Recovery Tool」が提供されていますので、Windowsで行う場合はこちらを利用してください。

ddコマンドで書き込む方法もありますが、今回は「Dell Recovery」のGUIから行うので画面左端の「アプリケーションを表示する」をクリックします。
※工場出荷時状態のLatitude 3420のUbuntuであれば「Dell Recovery」が利用可能です。

検索欄から「Dell」と入力し、「Dell Recovery」を表示します。

USBメモリをPCに接続した状態で「Dell Recovery」を起動して、「Build OS Media」をクリックします。

「Bass OS Image」の画面で「ISO Image」が選択されている状態で「Choose Image」をクリックします。

事前にダウンロードしておいたISOファイル（※ファイル名に「Ubuntu2004_A04」と書かれている方）を選択して、「Bass OS Image」の画面に戻ったら「進む」をクリックします。

「FID Content」の画面ではそのまま「進む」をクリックします。

「Drive Packages」の画面ではそのまま「進む」をクリックします。
※工場出荷時状態に必要なドライバはISOファイルに含まれています。

「Application Packages」の画面ではそのまま「進む」をクリックします。
※工場出荷時状態に必要なアプリケーションはISOファイルに含まれています。

「Media Type」の画面では「USB Flash Drive」が選択されている状態で「進む」をクリックします。

「Builder Summary」の画面で設定内容の確認を行って「適用」をクリックします。
※この画面ではバージョン番号が入力できますので、任意の値を設定してください。今回は初期表示のままにしました。

接続しているUSBメモリが選択されていることを確認してから、「ブータブルUSBの作成」をクリックします。

認証画面が表示されるのでアカウントのパスワードを入力して、起動ディスクの作成完了までしばらく待ちます。

起動ディスクの作成が完了するとこのような画面が表示されます。

また、別のUSBメモリやDVDでも起動ディスクが作成できるように同時にISOファイルも作成されています。

リカバリー用の起動ディスクを使って再インストール

再インストールを行うため、USBメモリを接続した状態でPCを再起動します。

起動時に「DELL」のロゴが表示されたら「F12」を押して、UEFIの画面へ移動します。（「F12」を何度か押すと成功しやすいかもしれません）

「One-Time Boot Settings」の中から起動ディスクのUSBメモリを選択してエンターを押します。

USBメモリのランプが点滅し始めたら、リカバリーシステムの起動が成功しているはずです。

しばらくすると「Dell Recover」の画面が表示されるので、「Customize installation」を選択して「Continue」をクリックします。
※説明欄に「Disk encryption」と書かれているのでこれで間違いなさそうです。

次に「Installation type」の画面では「Erase disk and install Ubuntu」を選択して「Advanced features」をクリックします。

「Advanced Features」の画面が表示されたら「Use LVM with the new Ubuntu installation」を選択して「Encrypt the new Ubuntu installation for security」にチェックして「OK」をクリックします。

「Choose a security key」の画面が表示されたら暗号化のキーを入力して「Install Now」をクリックします。
※今回リカバリー用のキーの作成と空き領域の上書き処理は行いませんでした。

以下の領域のデータがすべて初期化されることになるがよいか？といった最終確認が表示されるので「Continue」をクリックします。
※必要なデータがある場合は別途バックアップを取っておくことをオススメします。

「Dell Recovery」によるUbuntuのインストールが開始されるのでしばらく待ちます。

「Installation Complete」の画面が表示されたら、USBメモリを取り外し「Restart Now」をクリックします。

暗号化されているか確認

再起動後、暗号化の設定が成功していると「Please unlock disk **********」と表示されます。
ここで事前に設定しておいた暗号化のキーを入力して、Ubuntuの起動画面が表示されれば作業完了です。

【Dell Latitude 3420】Dell Recoveryを使ってUbuntu 20.04を再インストールしてLUKSによるディスクの暗号化を行った記録