in 'Wie partitioniert man seine Festplatte für Linux' ist ein undelete HOWTO zu finden ich dachte einmal gelöschte files kann man bei Linux nicht merh zuruckholen?
cu
P.S.: bite nicht sowas wie 'wer Lesen kann ist klar im Vorteil' es zu verstehen ist eine andere Sache
Von Daten undeleten am Di, 18. Januar 2000 um 14:32 #
Eigentlich ist eine ganz einfache Sache: Dateien werden unter UNIX durch Inodes verwaltet. EIne Inode sagt dem OS, wem die Datei gehört, die Zugriffsrechte, welche Blöcke auf der Platte die Datei belegt, Grösse in Bytes usw. Namen werden in Verzeichnissen gespeichert, wo sie dann auf die entsprechende Inode verweisen. Löscht man eine Datei mittels "rm", schmeisst man den Namenseintrag im Verzeichnis weg und zählt einen Verweiszähler in der Inode runter. Wird der Null, verweist kein Verzeichniseintrag mehr auf diese Datei, und der Speicherplatz wird freigegeben. Dadurch wird er aber noch nicht *gelöscht*, d.h. mit Nullen überschrieben oder so. Der Plattenplatz steht lediglich wieder als freier Platz zur Verfügung und kann anderen Dateien zugeordnet werden, die Inode wird als "frei" markiert. Wenn man nach dem versehentlichen Löschen einer Datei (8^* Uups!) schnell genug verhindert, dass der Speicherplatz durch andere Dateien überschrieben wird (unmounten des entsprechenden Filesystems), kann man die immer noch physikalisch auf der Platte vorliegenden Daten mittels der im Undelete-Mini-HOWTO vorgegebenen Methoden recovern. Allerdings hat der Autor dieses Howtos vollkommen recht: Zuallererst einmal dafür sorgen, dass es gar nicht erst so weit kommt! (Vorbeugen ist besser als sich zu bekleckern
ich dachte das macht linux nicht so wie windows.. einmal gelöscht wirklich gelöscht und wieso sagt man es ist sicherer das die daten net so leicht wiederherstellbar sind wie bei windows?
(habe bist jetzt immer gedacht das das auch ein grund ist wieso Linux so sicher ist)
Die oben beschriebene Methode für undelete ist unzuverlässig und völlig ungeeignet für den normalen Gebrauch.
Es gab mal einen Patch für das ext2-Dateisystem, der ein echtes Undelete implementierte. Er schaffte es allerdings nie in den offiziellen Kernel. Mir ist nicht bekannt, ob es den Patch für 2.2 ff. gibt.
Laut chattr(1) man page gibt es das s-Attribut (kleinschreiben, S ist ein anderes), welches beim Löschen der Datei alle Blöcke der Datei mit binaer 0 überschreibt und die Daten damit hinlänglich sicher vernichtet. Nachgeguckt unter SuSE 5.3, ext2fs-1.10-19. Ein paar andere Atrribute werden als noch nicht vom Kernel unterstützt aufgelistet, aber s ist nicht darunter.
Gerade bei http://freshmeat.net gesehen: recover 0.9 (Console/Filesystems). Automatisiert einige Schritte aus dem undelete-HOWTO.
Ungeeignete Methode?!? Nun gut, eine Erfolgsgarantie gibt es nicht, schliesslich können zwischen dem "Uups" und dem Unmounten des Filesystems beliebig viele Prozesse auf der Platte "herumgekritzelt" haben. Wenn es denn aber die *einzige* Möglichkeit ist, irgendwelche Daten zu recovern, dann wird man dieser "ungeeigneten" Methode mit Freude folgen :)!
Tja, und was die Sicherheit angeht: Unter Win95/98 kann prinzipiell jeder User mit passendem Programm die Platte nach noch nicht überschriebenen Datenschrott checken. Unter Linux/Unix kann das "nur" der Systemverwalter. Sicherheit ist halt immer relativ.
Und noch eine kleine Ergänzung: Ich meine mich erinnern zu können, dass es auch ein Tool namens "purge" oder so gibt, welches auch die Daten einer zu löschenden Datei überschreibt, bevor die Datenblöcke freigegeben werden. Das kann sogar mehrfach überschreiben mit verschiedenen Bitmustern, um die Magnetisierung der Bits auf der Platte auch 101%ig zu verändern. Man sagt, bei einfach nur Nullen drüberschreiben gäbe es entsprechende Tools, um selbst dann die Daten noch recovern zu können. Das ist dann allerdings NSA/BND/CIA/ETC-Gebiet B^)
in 'Wie partitioniert man seine Festplatte für Linux' ist ein undelete HOWTO zu finden
ich dachte einmal gelöschte files kann man bei Linux nicht merh zuruckholen?
cu
P.S.: bite nicht sowas wie 'wer Lesen kann ist klar im Vorteil'
es zu verstehen ist eine andere Sache
Dadurch wird er aber noch nicht *gelöscht*, d.h. mit Nullen überschrieben oder so. Der Plattenplatz steht lediglich wieder als freier Platz zur Verfügung und kann anderen Dateien zugeordnet werden, die Inode wird als "frei" markiert. Wenn man nach dem versehentlichen Löschen einer Datei (8^* Uups!) schnell genug verhindert, dass der Speicherplatz durch andere Dateien überschrieben wird (unmounten des entsprechenden Filesystems), kann man die immer noch physikalisch auf der Platte vorliegenden Daten mittels der im Undelete-Mini-HOWTO vorgegebenen Methoden recovern. Allerdings hat der Autor dieses Howtos vollkommen recht: Zuallererst einmal dafür sorgen, dass es gar nicht erst so weit kommt! (Vorbeugen ist besser als sich zu bekleckern
einmal gelöscht wirklich gelöscht
und wieso sagt man es ist sicherer das die daten net so leicht wiederherstellbar sind wie bei windows?
(habe bist jetzt immer gedacht das das auch ein grund ist wieso Linux so sicher ist)
Es gab mal einen Patch für das ext2-Dateisystem, der ein echtes Undelete implementierte. Er schaffte es allerdings nie in den offiziellen Kernel. Mir ist nicht bekannt, ob es den Patch für 2.2 ff. gibt.
Ungeeignete Methode?!? Nun gut, eine Erfolgsgarantie gibt es nicht, schliesslich können zwischen dem "Uups" und dem Unmounten des Filesystems beliebig viele Prozesse auf der Platte "herumgekritzelt" haben. Wenn es denn aber die *einzige* Möglichkeit ist, irgendwelche Daten zu recovern, dann wird man dieser "ungeeigneten" Methode mit Freude folgen :)!
Tja, und was die Sicherheit angeht: Unter Win95/98 kann prinzipiell jeder User mit passendem Programm die Platte nach noch nicht überschriebenen Datenschrott checken. Unter Linux/Unix kann das "nur" der Systemverwalter. Sicherheit ist halt immer relativ.
Und noch eine kleine Ergänzung: Ich meine mich erinnern zu können, dass es auch ein Tool namens "purge" oder so gibt, welches auch die Daten einer zu löschenden Datei überschreibt, bevor die Datenblöcke freigegeben werden. Das kann sogar mehrfach überschreiben mit verschiedenen Bitmustern, um die Magnetisierung der Bits auf der Platte auch 101%ig zu verändern. Man sagt, bei einfach nur Nullen drüberschreiben gäbe es entsprechende Tools, um selbst dann die Daten noch recovern zu können. Das ist dann allerdings NSA/BND/CIA/ETC-Gebiet B^)