В Linux существует два метода объединения дисков. Драйвер MD, уже упоминавшийся в связи с системами RAID, также способен выполнять простейшее объединение дисков, но существует и более совершенная система LVM (Logical Volume Manager). Обе системы входят в основные дистрибутивы Linux. В этом разделе будут описаны устройства MD. Мы начинаем с Linux, потому что драйверы Linux могут использоваться для анализа систем Windows.

Общие сведения

Драйвер MD использует обычные разделы DOS, группируя их для создания тома RAID или объединенного тома. Каждый диск может содержать несколько разделов и использоваться в некотором томе RAID или логическом томе. В этой модели не существует дисковых групп. Конфигурационный файл /etc/raidtab определяет порядок следования разделов; монтирование тома возможно лишь после задания его конфигурации в файле. Структура конфигурационного файла идентична той, что описывалась в предыдущем разделе для RAID, только параметру raid-level присваивается значение linear. Пример конфигурационного файла для логического тома с двумя разделами (/dev/hdbl и /dev/hddl):

# cat /etc/raidtab raiddev /dev/mdO

raid-level linear

nr-raid-disks 2

nr-spare-disks 0

persistent-superblock 0 chunk-size 4k

device /dev/hdbl

raid-disk 0

device /dev/hddl

raid-disk 1

Ядро читает конфигурационный файл и создает устройство /dev/mdO, которое может монтироваться и использоваться как отдельный том, но в действительности состоит из дискового пространства /dev/hdbl и /dev/hddl.

Если параметр persistent-superblock равен 0, то все данные конфигурации устройства содержатся в файле /etc/raidtab. Если он равен 1, то в конце каждого диска или раздела находятся конфигурационные данные, по которым механизм автоматической идентификации дисков Linux автоматически создает устройство MD. Для работы процесса автоматической идентификации в Linux соответствующий раздел DOS должен относиться к типу Oxfd. Чтобы узнать, было ли устройство создано при загрузке, просмотрите файл журнала /var/Log/messages. Процесс автоматической идентификации происходит при загрузке модуля ядра md.

Если диски или разделы содержат постоянный суперблок, в них создается 1024-байтовая структура, разделенная на секции. Первая секция содержит параметры объединенного диска или тома RAID - версии, количество дисков, время создания, идентификаторы. Вторая секция содержит общие сведения - последнее время обновления, счетчик, состояние тома, количество работающих и сбойных дисков. В остальных секциях хранится информация о каждом диске тома, включая основную и дополнительную версии устройства, роль устройства в томе, состояние диска. Как будет показано в секции анализа, типичная система Linux обновляет содержимое суперблока при загрузке, даже если том не монтируется. По содержимому суперблока ядро может узнать, что диски были отсоединены от системы и установлены в измененном порядке.

Объединение дисков | Криминалистический анализ файловых систем | Снятие данных и анализ


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31