Tenho um amigo com um NAS preso no processo de atualização de firmware, é baseado em Linux e acredito que use o software raid-5 em 4 discos usando mdadm /dev/md*.
O suporte aos clientes do produto apenas informou como reinstalar o firmware de fábrica, mas todos os dados serão perdidos.
O amigo entrou em contato com um serviço de recuperação profissional, mas está pedindo algum dinheiro (não é barato).
Estou bastante confiante com o Linux (usado para escrever firmware para dispositivos embarcados no passado), mas não com o RAID.
Eu gostaria de anexar os discos a um pc Debian e montar o raid como somente leitura, se bem entendi há boas chances de o raid e sua configuração serem detectados automaticamente pelo kernel (ou usando mdadm), mas como ser certifique-se de que nenhum dado seja gravado nos discos e quais são as etapas para montar o ataque ro?
Responder1
Primeiro conecte os discos e execute:
mdadm --examine /dev/sdb1
Depois disso, supondo que eles sejam legíveis, você poderá remontá-los usando:
mdadm --assemble /dev/md/... /dev/sdxn
Se você estiver realmente preocupado, coloque os discos em seu host e use uma VM em uma configuração em que o usuário que executa a VM tenha apenas acesso de leitura aos discos, mas duvido que isso funcione, pois os metadados nos discos precisam ser Atualizada.
Outro pensamento vem à mente, se você tiver espaço, ddos discos localmente e brincar com esses arquivos, ou fazer algo assim para preservação:
dd if=/dev/sdxN | gzip > /content/sdxN.gz
Responder2
Tive que fazer muito menos do que o esperado.
Antes de anexar os discos eu instalei mdadmo pacote e usei dpkg-reconfigure mdadmpara desabilitar qualquer coisa automática em qualquer ataque.
Uma vez anexados os discos, o kernel do Debian (3.16.0-4-amd64) detectou o ataque durante a inicialização.
/proc/mdstat:
Personalities : [raid6] [raid5] [raid4] [raid1]
md126 : active (auto-read-only) raid1 sdb1[0] sdd1[3] sde1[2]
20955008 blocks super 1.2 [4/3] [U_UU]
md127 : active (auto-read-only) raid5 sdb2[0] sdd2[3] sde2[2] sdc2[1]
5797132800 blocks super 1.1 level 5, 512k chunk, algorithm 2 [4/4] [UUUU]
unused devices: <none>
Não sei o que md126é, o correto é md127.
Tentei montar /dev/md127em um diretório temporário, mas falhei com erro:mount: unknown filesystem type 'LVM2_member'
Instalei o pacote e lvm2usei comandos para mostrar o volume interessante.lvmdiskscanlvdisplay
# lvmdiskscan
/dev/14b46bb0_vg/lv53a3800a [ 5,40 TiB]
...
# lvdisplay
--- Logical volume ---
LV Path /dev/14b46bb0_vg/lv53a3800a
...
LV Size 5,40 TiB
...
Depois é só montar e pronto.
mount -o ro /dev/14b46bb0_vg/lv53a3800a /tmp/raid/