编者按磁盘阵列(RAID),将多个物理磁盘按照一定的形式和方案组织起来,虚拟化成一个或者多个虚拟磁盘,这些虚拟磁盘的数据以条带的方式分布存储于所有的物理磁盘中,以此来获得更大的存储空间以及更快的传输性能。
按照RAID的构建方式,可以将RAID分成两类:硬RAID和软RAID。硬RAID需要依托硬件RAID控制器来实现RAID的构建,而软RAID则不需要,直接依托的操作系统和相关软件来实现RAID的构建。
针对MDADM管理软件创建的RAID取证,美亚柏科技术专家对Linux服务器上常用的软RAID管理软件MDADM进行了深入研究,为大家提供了一种更为简单的新方法。
一、MDADM简介
MDADM是Linux操作系统上开源的软RAID用户层管理工具,允许用户创建和管理软RAID磁盘阵列。
目前,MDADM支持大部分常见的阵列类型,如JBOD、RAID0、RAID1、RAID4、RAID5、RAID6、MULTIPATH、RAID10等,创建和管理RAID也十分的方便,同时,MDADM使用非常灵活,磁盘或者分区都可以作为RAID的成员盘来创建软RAID。
在Linux下采用MDADM工具的--create命令来创建软RAID磁盘组,其中MDADM创建软RAID部分重要参数说明如下:
以上,技术专家使用MDADM创建软RAID的命令行如下:
当命令行成功执行后,即在/dev/md设备目录下成功创建名称为testmd001的磁盘阵列,阵列为RAID5常规右同步类型,未指定条带大小情况下默认条带大小为512K,其中RAID的成员盘分别为设备 /dev/sdb1,/dev/sdb2,/dev/sdb3和/dev/sdb4,此外还有个热备盘为 /dev/sdb5。
MDADM查询创建好的软RAID详细信息也十分方便,可以直接MDADM工具的--detail命令来查看对应的软RAID的参数,其中部分RIAD部分重要参数说明如下:
以上,技术专家用mdadm --detail /dev/md/testmd001命令查询/dev/md设备目录下名称为testmd001的软RAID的相关信息。
如下图,通过MDADM命令在Linux上成功创建并启用磁盘阵列/dev/md/testmd001。
如下图,通过MDADM命令查看创建好的软RAID的相关参数。
二、MDADM技术方案
MDADM管理的软RAID的成员盘可以分为三个部分:系统预留区、参数配置信息区以及实际的组成软RAID的数据区。组成RAID的每一个成员盘的结构都是一样,结构图如下图所示。
参数配置信息中保存了对应软RAID组的所有参数信息,包括:MDADM的版本、创建时间、修改时间、RAID盘序、条带大小、RAID类型、名称、UUID等信息。其中,参数配置信息部分重要字段如下表:
对于同一组软RAID来说,组成RAID的成员盘(磁盘或者分区皆可)的UUID是一致的,可以一起来唯一确定一组软RAID的所有成员盘,并根据主磁盘中记录的软RAID的参数对这些成员盘进行重组,组成最终结果,因此,可通过以下流程对Linux软RAID进行离线解析。
其中的核心都在于如何识别出MDADM的成员盘以及对MDADM的成员盘参数的解析处理。
三、MDADM取证思路
MDADM的取证,传统情况下比较复杂,只能通过Linux虚拟机直接通过MDADM命令将MDADM设备加载,然后采用直接在线浏览的方式对软RAID设备进行取证,又或者通过DD命令将组好的MDADM设备导出独立的镜像再进行取证。
通过对MDADM软RAID的结构进行深入研究,并将研究结果实际使用到取证工具中。目前,最新版本取证大师已经支持直接对MDADM设备进行加载分析。
四、总结
随着Linux服务器取证需求的日益增多,取证人员可能会越来越多的遇到MDADM结构的软RAID。本文从MDADM的结构入手,对MDADM的磁盘结构进行深入分析并提出了MDADM软RAID的取证思路。
更多精彩内容,欢迎关注公众号(ID:meiyapico)
970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
