<<
>>

Linux LVM

Второй механизм объединения дисков в Linux основан на использовании LVM. В этом разделе описывается архитектура LVM и методы снятия данных.

Общие сведения

Диспетчер логических томов (LVM) обладает более сложной архитектурой, чем MD.

В нем используются дисковые группы, которые в терминологии LVM называются группами томов. Разделам DOS, используемым в LVM, назначается тип раздела 0х8е. Диски и разделы в группах томов делятся на физические экстенты — равные блоки, размер которых обычно составляет несколько мегабайт. Каждая система содержит одну или несколько групп томов, при этом каждая группа представлена подкаталогом в каталоге /dev/.

Логический том состоит из логических экстентов, размер которых совпадает с размером физических экстентов; между логическими и физическими экстентами существует однозначное соответствие. На рис. 7.8 показан логический том, созданный из трех наборов физических экстентов на двух физических дисках.

Логические тома создаются либо объединением физических экстентов, либо чередованием (с объединением последовательных логических экстентов на разных дисках). Скажем, на 2-гигабайтном томе первые 1,5 Гбайт могут размещаться на диске 1, а последние 500 Мбайт — на диске 2. С другой стороны, на томе с чередованием могут использоваться два диска объемом 1 Гбайт: первый мегабайт размещается на диске 1, второй — на диске 2, третий — снова на диске 1, и т. д. Логический том представляется файлом устройства в подкаталоге группы томов в /dev/.

Сведения о конфигурации логического тома хранятся как в локальной системе, так и на дисках. Локальная конфигурация хранится в файле /etc/lvmtab и ка

талоге /etc/Lvmtab.d/. Конфигурационный файл имеет двоичный формат и обновляется утилитами LVM, такими как vgimport, vgscan и vgchange. Дисковая структура находится в начале диска и содержит информацию о диске, о группе томов, к которой он принадлежит, и о логических томах, входящих в группу.

Ни одно из полей структуры не содержит временных штампов, поэтому структура не обновляется при создании логического тома, как это происходит с устройствами MD.

Рис. 7.8. LVM делит физические диски на физические экстенты, отображаемые на логические экстенты в логическом томе

Снятие данных и анализ

Анализ систем LVM открывает больше возможностей для автоматизации, чем для устройств MD. Дальнейшее описание базируется на моем опыте работы с текущими версиями LVM и было проверено у разработчиков LVM[3]. LVM содержит служебные программы vgexport и vgimport, которые должны использоваться при перемещении дисков между системами, но для снятия данных с дисков они не нужны. Программа vgexport удаляет локальные файлы конфигурации тома и записывает слово «-EXPORT» в имя группы томов на диске. Для проведения экспертизы при удалении дисков из анализируемой системы этот шаг не обязателен.

Чтобы провести анализ тома LVM, следует либо удалить диски из системы и разместить их в доверенной системе Linux, либо загрузить анализируемую систему с загрузочного компакт-диска Linux с поддержкой LVM. Как упоминалось при обсуждении LVM, безопаснее настроить систему так, чтобы она не выполняла автоматического монтирования и конфигурации логических томов. Выполните команду vgscan в системе, в которой производится анализ, для проведения поиска логических томов. Команда автоматически создает файл /etc/ Lvmtab и конфигурационные файлы в каталоге /etc/Lvmtab.d/. После создания конфигурационных файлов выполните команду vgchange -а у для активизации найденных томов. При работе с LVM местонахождение и конфигурация ведущих/ ведомых дисков несущественны. Содержимое активного тома копируется командой dd с устройства тома в /dev/. По моему опыту, выполнение команд vgscan и vgchange не приводит к изменению кодов MD5 дисков. Далее приводится последовательность команд при загрузке системы с использованием пакета Penguin Sleuth Kit (обратите внимание: Penguin Sleuth Kit не имеет отношения

к аналитическому пакету The Sleuth Kit). Пакет Penguin Sleuth Kit доступен по адресу: http://www.linux-forensics.com. vgscan

vgscan -- reading all physical volumes (this may take a while...)

vgscan -- found inactive volume group ”vg_big2"

vgscan -- "/etc/lvmtab" and "/etc/lvrntab.d" successfully created

vgscan -- WARNING: This program does not do a VGDA backup of your volume group

Учтите, что в будущих версиях поведение LVM может измениться, поэтому протестируйте все процедуры перед выполнением действий в реальной системе и создайте резервные копии дисков перед объединением томов. 

<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Linux LVM:

  1. Алгоритмы выделения
  2. Снятие данных и анализ
  3. НРА
  4. Приемник
  5. Объединение дисков
  6. SMART (ASR Data)
  7. Общий обзор
  8. EnCase (Guidance Software)
  9. Запись каталога
  10. Расширенные атрибуты
  11. Глава 2. Архитектура ЕРС Network
  12. Использование томов в UNIX
  13. Введение
  14. Программная реализация RAID
  15. Методы надежного удаления
  16. Категория содержимого
  17. Категория метаданных
  18. Общие положения
  19. Разделы в DOS
  20. Разделы BSD