Hallo allerseits,

nachdem ich hier eine Intel SSD 330 (60GB) an einem defekten SATA-Kabel hängen hatte und es offenbar alle möglichen Fehlansteuerungen gegeben hat, ist bei dieser Platte nun ein ATA-Passwort gesetzt.

Habe (ahnungslos wie ich bin) daran gedacht, das per hdparm zu entfernen. Aber das Passwort scheint "" (also nix) zu sein, jedenfalls komme ich bei der Passwortabfrage beim Systemstart immer durch schlichtes Drücken der Enter-Taste weiter.

Frage also: Wie übergebe ich bei hdparm das ""-Passwort - oder liegt hier irgendetwas anderes vor, als ich denke?

Danke + Grüße,

Wolfram

Du hast ein Passwort gesetzt? Oder ein "Programm" daran tüffeln lassen? - Noch nie gehört, dass sich sowas von selbst setzt.

Hast du die komplette SSD eventuell verschlüsselt, die Partition oder einen Container?

Was sagt denn:
hdparm -I /dev/sdx

das ata password wird nicht von der platte selbst verwaltet/gesetzt. dafür ist das uefi-(bios) zuständig. du musst im bios nach der entsprechenden option suchen. evtl. hast du ein bios-reset gemacht das die option der abfrage nach dem ata passwort aktiviert. aber kein passwort vergeben. deshalb genügt wohl auch ein einfaches "enter".

Du hast ein Passwort gesetzt? Oder ein "Programm" daran tüffeln lassen? - Noch nie gehört, dass sich sowas von selbst setzt.

Ich auch nicht. Die Platte hing an einem defekten Kabel (https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11633490#post11633490). Danach trat dieses Phänomen auf. Noch besser: Das Passwort wird nur so ungefähr jedes zweite Mal verlangt. Für mich kein Muster erkennbar.:freak:

Hast du die komplette SSD eventuell verschlüsselt, die Partition oder einen Container?
Ausnahmsweise nicht.

Was sagt denn:
hdparm -I /dev/sdx
Sagt: Passwort ist gesetzt.

Security:
Master password revision code = 65534
supported
enabled
not locked
frozen
not expired: security count
supported: enhanced erase
Security level high
4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

das ata password wird nicht von der platte selbst verwaltet/gesetzt. dafür ist das uefi-(bios) zuständig. du musst im bios nach der entsprechenden option suchen. evtl. hast du ein bios-reset gemacht das die option der abfrage nach dem ata passwort aktiviert. aber kein passwort vergeben. deshalb genügt wohl auch ein einfaches "enter".

Finde im BIOS keine entsprechende Option, weder unter Storage noch Security noch sonstwo. Kenne das auch nur von Notebooks, das hier ist ein Desktop-Rechner mit ASRock B150-Board. BIOS-Reset habe ich nicht gemacht, auch sonst dort keine Optionen geändert.

Ich kenne das eigentlich auch nur von Notebooks und weiss auch, dass man dort eben im Bios die notwendigen Einstellungen vornehmen kann. Deshalb nahm ich an, dass es sich um ein Notebook handelt. Der Bios-Ansatz ist einfacher. :D

Ansonsten: http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Da ich das schon des öfteren durchgezogen habe, fasse ich es kurz zusammen:

1. Die Platte darf nicht gesperrt sein ("not frozen")! Ansonsten kann man das Passwort nicht ändern. Das Bios sperrt die Platte bei jedem Boot sofort! Deshalb zeigt hdparm bei dir "frozen" an.

2. Entweder unterstützt die Platte das entsperren aus dem laufenden Betrieb (was mir noch nicht untergekommen ist; macht IMO auch keinen Sinn wg. Malware o. ä.):

hdparm --user-master u --security-unlock "Passwort" /dev/sdX

oder

du musst die Platte im laufenden Betrieb abklemmen und wieder anschließen:

- die Platte darf nicht die Linux Bootplatte sein (ggf. Linux Live USB).
- es dürfen keine Volumes eingebunden sein.
- echo 1 | tee /sys/block/sdX/device/delete
- datenkabel entfernen
- stromkabel entfernen
- 10 sec. warten
- stromkabel anschließen
- datenkabel anschließen
- hdparm -I /dev/sdX
--> "not frozen"

3. Jetzt kann man die Änderungen vornehmen:

hdparm --user-master [m|u] --security-disable "Passwort" /dev/sdX

[m|u] m=Admin/Master u=user

Dazu bitte den Artikel genau lesen. Es gibt einer User-Passwort und ein Admin-Passwort. Dazu gibt es noch verschiedene "Sicherheitslevel". Da bei dir wohl das Default-Passwort "leer" zu sein scheint würde ich auch keines vergeben und die Sicherheit nur abschalten.

Danke! Scheint geklappt zu haben, Platte jetzt im SEC2 state. Jetzt kann ich rebooten, oder?

Security:
Master password revision code = 65534
supported
enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
Security level high
4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Danke! Scheint geklappt zu haben, Platte jetzt im SEC2 state. Jetzt kann ich rebooten, oder?

Security:
Master password revision code = 65534
supported
enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
Security level high
4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.


Du wolltest das Passwort doch loswerden, oder?
Master password ... [still] enabled

Was vanquish gepostet hat sich nicht verkehrt, aber es fehlt was.
Schau mal auf: http://man7.org/linux/man-pages/man8/hdparm.8.html#ATA_Security_Feature_Set

Da fällt eine Sache auf: "Use the special password NULL to set an empty password."

Ich denke, folgendes sollte es tun:

hdparm --user-master m --security-unlock NULL /dev/sdX
hdparm --user-master m --security-disable NULL /dev/sdX

Vor dem Reboot nochmal checken, dass Master password nun auf NOT enabled steht.

Nein, nicht Neustarten. Nach dem Reboot ist das Laufwerk wieder "frozen". Nach dem "entsperren" kannst du deine Änderungen vornehmen und anschließend darfst du Neustarten.

Steht aber im Artikel (incl. Diagramm):

The counterpart to freezing (thawing, so to speak) does not exist. It takes a hardware reset or power cycle to revert to the SEC1 state.

Das Default User Passwort ist "NULL". Das Master Passwort ist herstellerspezifisch! Das steht auch so in dem verlinkten Artikel:

The ATA security concept has two different passwords: the user password and the master password, each with a length of 32 bytes. The factory default user password is NULL (i.e., 32 null bytes); the master password is manufacturer specific and undocumented, but you will find all kinds of information about factory presets on the web.

... Man kann diesen Zusatand auch ändern:

Every hard disk is initially supplied with an undocumented master password. In the hdparm output, you can see this from the details of the master password revision code, which refers to the currently valid master password as an identifier. The default value 65534 (hex $ FFFE) references the manufacturer-defined password. In other words, the HDD or SSD manufacturer has a way of resetting the security settings right from the outset. The initial master password is unknown to the user but can be overwritten by the first call of the SECURITY_SET_PASSWORD command, this time using the --user-master m switch:
hdparm --user-master m --security-set-pass "UltraSecret" /dev/sdb
security_password="UltraSecret"

----

IMO sollte ein:

hdparm --user-master u --security-unlock "NULL" /dev/sdX
hdparm --user-master u --security-disable "NULL" /dev/sdX

ausreichen um die Abfrage auszuschalten (beim Boot wird das User-Passwort abgefragt und nicht das Master-Passwort). Security-disable sollte nicht notwendig sein. Ohne "u" geht auch, da "u" default ist.

Yay! Die von vanquish gepostete Variante war's. Offenbar braucht er die Anführungszeichen.

Security:
Master password revision code = 65534
supported
not enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Was ich noch nicht so ganz verstehe: Er meldet "master password" (erst enabled, jetzt not enabled). Aber ich habe doch nur das User-Passwort geändert.

Aber jedenfalls schon mal vielen Dank Euch beiden!

Ist etwas verwirrend aber das bezieht sich auf das oben stehende "Security:" ... jetzt "not enabled" ... davor war sie ja "enabled", weshalb ja auch das Passwort abgefragt wurde. Die Master blah blah Zeile sagt nur, dass es unterstützt wird "supported". Wird von hdparm etwas unglücklich angezeigt.

Alles klar, das hatte ich in der Tat nicht verstanden, danke!