Re: RAID zwei Platten aus NAS wie Daten lesen

[Peter Funk <pf@artcom-gmbh.de>]

Hallo Thomas,

Deine Fragen betreffen vermutlich nur indirekt Debian, aber gut.

Thomas schrieb am Dienstag, den 28.06.2016 um 13:02:
> Hallo,
> 
> ich habe hier zwei Platten aus einem RAID wo ich gerne noch an die Daten 
> kommen würde. Die hat einer von einem NAS in ein anderes gebaut, da irgendwie 
> auf ein paar Buttons gedrückt und jetzt werden sie im alten und neuen NAS 
> nicht mehr erkannt und es sind noch ein paar Daten drauf.

Erste Lehre aus so einem Vorfall: 
Irgendjemand sollte in Zukunft regelmäßig Datensicherungen
der "paar Daten" anfertigen! ☺

> So sah eine der beiden Platte in meinem Rechner aus
> 
> Device       Start        End    Sectors   Size Type
> /dev/sdb1    62500    4031250    3968751   1,9G Linux RAID
> /dev/sdb2  4031251    5031250    1000000 488,3M Linux RAID
> /dev/sdb3  5031251 1953525134 1948493884 929,1G Linux RAID
> 
> Dann mit:
> 
> #mdadm --assemble --run /dev/md0 /dev/sdb1
> 
> Und dann hatte ich das OS und swap wieder, kann auch lesen,
> 
> Disk /dev/md0: 1,9 GiB, 2031878144 bytes, 3968512 sectors
> Units: sectors of 1 * 512 = 512 bytes
> Sector size (logical/physical): 512 bytes / 512 bytes
> I/O size (minimum/optimal): 512 bytes / 512 bytes
> 
> Disk /dev/md1: 488,2 MiB, 511901696 bytes, 999808 sectors
> Units: sectors of 1 * 512 = 512 bytes
> Sector size (logical/physical): 512 bytes / 512 bytes
> I/O size (minimum/optimal): 512 bytes / 512 bytes
> 
> 
> Nur /dev/sdb3 ist nun "weg", und da sind die Daten drauf.
> 
> Ich habe ja noch die zweite Platte, wie komme ich an die Daten auf /dev/sdb3. 
> Der von den ich Platten bekommen habe wusste aber nicht ob /dev/sdb3 evtl. 
> sogar verschlüsselt ist, dann ist natürlich alles zu spät.

Um das heraus zu finden, musst Du den physikalischen Inhalt dieser
Partition analytisch unter die Lupe nehmen, bevor Du schreibend auf
die Platte zugreifst.  Z.B. mit diesem Kommando::

    xxd /dev/sdb3 | head -n 6

Wenn das dann z.B. wie folgt aussieht::

  0000000: 4c55 4b53 babe 0001 6165 7300 0000 0000  LUKS....aes.....
  0000010: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000020: 0000 0000 0000 0000 6362 632d 6573 7369  ........cbc-essi
  0000030: 763a 7368 6132 3536 0000 0000 0000 0000  v:sha256........
  0000040: 0000 0000 0000 0000 7368 6131 0000 0000  ........sha1....
  0000050: 0000 0000 0000 0000 0000 0000 0000 0000  ................

dann handelt es sich tatsächlich um einen mit LUKS verschlüsselten
Container.  Ohne Passphrase kannst Du das Entschlüsseln dann vermutlich
vergessen.  Sieht es hingegen so aus::

  0000000: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000010: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000020: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000030: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
  0000050: 0000 0000 0000 0000 0000 0000 0000 0000  ................

dann wird es etwas anderes sein.  Wahrscheinlich ein LVM Verbund?  
Um diese Hypothese zu prüfen, muss man sich andere Teile des Headers 
anschauen.  Z.B. so:

   xxd /dev/sdb3 | head -n 34 | tail -n 1

Falls es LVM ist, dann wird das vermutlich so ähnlich aussehen::

  0000210: 9d37 87f6 2000 0000 4c56 4d32 2030 3031  .7.. ...LVM2 001

Ich kann nur raten.  Es gibt zu viele Möglichkeiten.
 
Viele Grüße, Peter Funk
-- 
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany