RAID zwei Platten aus NAS wie Daten lesen

28/06/2016 - 13:10 von Thomas | Report spam
Hallo,

ich habe hier zwei Platten aus einem RAID wo ich gerne noch an die Daten
kommen würde. Die hat einer von einem NAS in ein anderes gebaut, da irgendwie
auf ein paar Buttons gedrückt und jetzt werden sie im alten und neuen NAS
nicht mehr erkannt und es sind noch ein paar Daten drauf.

So sah eine der beiden Platte in meinem Rechner aus

Device Start End Sectors Size Type
/dev/sdb1 62500 4031250 3968751 1,9G Linux RAID
/dev/sdb2 4031251 5031250 1000000 488,3M Linux RAID
/dev/sdb3 5031251 1953525134 1948493884 929,1G Linux RAID

Dann mit:

#mdadm --assemble --run /dev/md0 /dev/sdb1

Und dann hatte ich das OS und swap wieder, kann auch lesen,

Disk /dev/md0: 1,9 GiB, 2031878144 bytes, 3968512 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/md1: 488,2 MiB, 511901696 bytes, 999808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Nur /dev/sdb3 ist nun "weg", und da sind die Daten drauf.

Ich habe ja noch die zweite Platte, wie komme ich an die Daten auf /dev/sdb3.
Der von den ich Platten bekommen habe wusste aber nicht ob /dev/sdb3 evtl.
sogar verschlüsselt ist, dann ist natürlich alles zu spàt.


Gruss Thomas
 

Lesen sie die antworten

#1 Peter Funk
28/06/2016 - 15:20 | Warnen spam
Hallo Thomas,

Deine Fragen betreffen vermutlich nur indirekt Debian, aber gut.

Thomas schrieb am Dienstag, den 28.06.2016 um 13:02:
Hallo,

ich habe hier zwei Platten aus einem RAID wo ich gerne noch an die Daten
kommen würde. Die hat einer von einem NAS in ein anderes gebaut, da irgendwie
auf ein paar Buttons gedrückt und jetzt werden sie im alten und neuen NAS
nicht mehr erkannt und es sind noch ein paar Daten drauf.



Erste Lehre aus so einem Vorfall:
Irgendjemand sollte in Zukunft regelmàßig Datensicherungen
der "paar Daten" anfertigen! ☺

So sah eine der beiden Platte in meinem Rechner aus

Device Start End Sectors Size Type
/dev/sdb1 62500 4031250 3968751 1,9G Linux RAID
/dev/sdb2 4031251 5031250 1000000 488,3M Linux RAID
/dev/sdb3 5031251 1953525134 1948493884 929,1G Linux RAID

Dann mit:

#mdadm --assemble --run /dev/md0 /dev/sdb1

Und dann hatte ich das OS und swap wieder, kann auch lesen,

Disk /dev/md0: 1,9 GiB, 2031878144 bytes, 3968512 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/md1: 488,2 MiB, 511901696 bytes, 999808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Nur /dev/sdb3 ist nun "weg", und da sind die Daten drauf.

Ich habe ja noch die zweite Platte, wie komme ich an die Daten auf /dev/sdb3.
Der von den ich Platten bekommen habe wusste aber nicht ob /dev/sdb3 evtl.
sogar verschlüsselt ist, dann ist natürlich alles zu spàt.



Um das heraus zu finden, musst Du den physikalischen Inhalt dieser
Partition analytisch unter die Lupe nehmen, bevor Du schreibend auf
die Platte zugreifst. Z.B. mit diesem Kommando::

xxd /dev/sdb3 | head -n 6

Wenn das dann z.B. wie folgt aussieht::

0000000: 4c55 4b53 babe 0001 6165 7300 0000 0000 LUKSaes.
0000010: 0000 0000 0000 0000 0000 0000 0000 0000
0000020: 0000 0000 0000 0000 6362 632d 6573 7369 cbc-essi
0000030: 763a 7368 6132 3536 0000 0000 0000 0000 v:sha256
0000040: 0000 0000 0000 0000 7368 6131 0000 0000 sha1
0000050: 0000 0000 0000 0000 0000 0000 0000 0000

dann handelt es sich tatsàchlich um einen mit LUKS verschlüsselten
Container. Ohne Passphrase kannst Du das Entschlüsseln dann vermutlich
vergessen. Sieht es hingegen so aus::

0000000: 0000 0000 0000 0000 0000 0000 0000 0000
0000010: 0000 0000 0000 0000 0000 0000 0000 0000
0000020: 0000 0000 0000 0000 0000 0000 0000 0000
0000030: 0000 0000 0000 0000 0000 0000 0000 0000
0000040: 0000 0000 0000 0000 0000 0000 0000 0000
0000050: 0000 0000 0000 0000 0000 0000 0000 0000

dann wird es etwas anderes sein. Wahrscheinlich ein LVM Verbund?
Um diese Hypothese zu prüfen, muss man sich andere Teile des Headers
anschauen. Z.B. so:

xxd /dev/sdb3 | head -n 34 | tail -n 1

Falls es LVM ist, dann wird das vermutlich so àhnlich aussehen::

0000210: 9d37 87f6 2000 0000 4c56 4d32 2030 3031 .7.. ...LVM2 001

Ich kann nur raten. Es gibt zu viele Möglichkeiten.

Viele Grüße, Peter Funk
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany

Ähnliche fragen