Linuxが外部ハードドライブまたはUSBドライブに接続されているときにそのドライブに何も書き込まないようにする2つの理由があります。
- ドライブの「空」部分から誤って削除されたファイルを復元します。
- デジタルフォレンジックの場合は、ドライブを複製するときにドライブに変更がないことを確認する必要があります。
この目的のために、特にドライブコネクタとエンクロージャがあり、書き込みコマンドがドライブに到達するのを物理的にブロックするスイッチまたはボタンがあります。
しかし、私のUSB-IDEコネクタにはそのような豪華さはありません。ソフトウェアでこれを行うことができると聞きましたが(Ubuntuのサイレントインストールを無効にする必要がある場合もあります)、オンラインで指示が見つかりませんでした。どのように行ってこれをやってみてください。
Ubuntuで書き込みを防ぐ方法何もないすべてのデータを維持するために外付けハードドライブに保存しますか?
私の特別なケースではUbuntuを使用しますが、私はこう尋ねました。UnixとLinux代わりにUbuntuに尋ねる私の特定のケースだけでなく、ディストリビューション全体にわたって機能する答えを探したいと思います。どちらのタイプの答えも歓迎します。
答え1
実際のフォレンジックシナリオでは、ハードウェアインターセプタが必須です。ソフトウェアブロッカーは間違いのリスクがあるため十分ではなく、法的訴訟の場合はディスクイメージを変更しなかったという合理的な疑いを超えて主張し、その中で説明できることが非常に重要です。技術者以外の人にとっては非常に単純な用語であり、元の用語を変更することは不可能です。また、元のディスクで実行する唯一のことは、新しいメディアにコピーを作成してからそのコピーを分析することです(再書き込みブロッカーを使用して追加のコピーを作成し、そのコピーに書き込むことで興味のあるコンテンツを見つけることができます)。その後、正確なコピーが保証され、興味深いコンテンツの抽出が再現されます。
その場合は、次のコマンドを使用してブロックデバイスを読み取り専用に設定できます。blockdev
注文する。
# blockdev --setro /dev/sde
# mount /dev/sde /mnt/
mount: block device /dev/sde is write-protected, mounting read-only
これはmount -o ro
、デバイスを変更できないようにするのに十分ではありません。ジャーナル・ファイル・システムの場合、ファイル・システムが完全にアンマウントされていない場合は、読み取り専用のマウントもログを再生し、一致するようにディスク上のファイル・システムを更新します。これを防ぐには、ext3またはext4を使用してこのオプションを渡すことができますnoload
。ただし、ブロックデバイスを読み取り専用に設定することは何も記録されないようにするより安全な方法であり、他のファイルシステムでは唯一の方法です。
答え2
通常、この設定で十分です。外付けハードドライブの回復中にこれを使用しました。
まず、自動マウントを無効にします。 (これを行うには、GNOME設定でgconf-editorを使用できます。これが他のシステムで動作しているかどうかわかりません)。次に、/dev/sda または /dev/sda1 ドライブを呼び出すか、プログラムから呼び出すすべてを呼び出します。 (sdaは通常ブートデバイス用に予約されています。この投稿お使いのデバイスがどのSD*であるかをご覧ください。ドライブが2つだけ接続されている場合は、sdbを試してください。
簡単な例:
root@yo-machine# dd_rescue /dev/sdc1 /home/user/the-disk-image.img
sdc1
アンマウントされたデバイスの最初のパーティションはどこにありますか?
注:/dev/sda
ブートセクタやMBRなどを含むデバイス全体を表します。/dev/sda1
そのデバイスの最初のパーティションが参照されます。