26.09.2018, 09:48 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

Lieber Besucher, herzlich willkommen bei: Knoppix Forum | www.KnoppixForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

17.05.2011, 10:25

md5sum gesamter Partition hat sich verändert - wer schreibt da auf ungemountetes /dev/sda4?

Hallo Linuxfreunde,

ich sichere meine Systempartition (/dev/sda4) in regelmäßigen Abständen vollständig mit dem Befehl dd auf eine andere Partition (/dev/sda1/Datei). Zusätzlich bilde ich immer noch die md5-Summe der gesamten Partition /dev/sda4 und speichere sie mit der Sicherung auf /dev/sda1/Datei-sum ab. Dafür verwende ich die DVD KNOPPIX 6.2.1. Auf /dev/sda4 ist ein ext3-Dateisystem (Debian Squeeze 6.0.1).

Nun habe ich nach einigen Wochen die eben genannte Sicherung mit dd von der anderen Partition (/dev/sda1/Datei) auf /dev/sda4 wieder zurückgespielt. Wieder mit dem Befehl dd und der DVD KNOPPIX 6.2.1. Zur Kontrolle habe ich wieder die md5-Summe der gesamten Partition /dev/sda4 gebildet und mit der auf /dev/sda1/Datei-sum gespeicherten md5-Summe verglichen und sie stimmte überein! So soll es ja auch sein!

Anschließend habe ich den Rechner sofort wieder neu gestartet mit der DVD KNOPPIX 6.2.1. Ich bildete nochmals die md5-Summe der gesamten Partition /dev/sda4. Aber zu meinem Erstaunen weicht diese jetzt von der eben vorher genannten md5-Summe ab, obwohl /dev/sda4 zu keinem Zeitpunkt gemountet war!

Zur Sicherheit habe ich o.g. Prozedur nochmals wiederholt, aber mit dem selben Ergebnis. Nach erfolgreicher Rücksicherung stimmete die md5-Summe. Nach sofortigem durchgeführtem Neustart mit der KNOPPIX DVD war die md5-Summe der Partition /dev/sda4 wieder anders.

Es hieß doch immer, dass im live-Modus unter KNOPPIX auf ungemountete Partitionen nicht geschrieben wird? Oder ist dies doch anders?

Viele Grüße
linuxfanknoppix

RalfonLinux

Erleuchteter

Beiträge: 2 934

Geschlecht: Männlich

2

17.05.2011, 12:39

So sollte es eigentlich sein.

Bei einem FATxy-System würde ich jetzt sagen, lass mal die Prüfsummen über jeden Sektor berechen, dann weißt du, wo sich der Unterschied befindet.
Dann mit einem Hexeditor die beiden Sektoren vergleichen, und versuchen, aus dem Unterschied schlau zu werden.

Da extx keine FAT hat, sondern seine Baumdaten im ganzen Filesystem verteilt, wird man das Problem haben, zu unterscheiden, was dort geändert worden ist.

ich weiß, das ext einen Zeitstempel schreibt, wenn der Datenträger gemountet wird, um sicher zu stellen, dass das Filesystem regelmäßig überprüft wird.
M.W. wird dies aber auch nur bei einem Mount gemacht.

Wenn du von der normalen DVD startest, hast du den cheat-code knoppix forensic verwendet ?

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

klaus2008

Meister

Beiträge: 2 695

Geschlecht: Männlich

3

17.05.2011, 20:00

Hallo!

Zitat

ich weiß, das ext einen Zeitstempel schreibt, wenn der Datenträger gemountet wird, um sicher zu stellen, dass das Filesystem regelmäßig überprüft wird.
M.W. wird dies aber auch nur bei einem Mount gemacht.
Ich denke, dass die Knoppix-DVD bei der Suche nach dem KNOPPIX-Verzeichnis die Partition eingebunden hat.

Gruss
Klaus

4

18.05.2011, 00:31

Nach einigem googeln und überlegen habe ich folgendes probiert:

KNOPPIX 6.2.1 starten und dann:

mount /dev/sda1
dumpe2fs -h /dev/sda4 > /media/sda1/Pfad/Datei1
umount /dev/sda1

anschließend Rechner wieder mit KNOPPIX 6.2.1 neu starten und:

mount /dev/sda1
dumpe2fs -h /dev/sda4 > /media/sda1/Pfad/Datei2

Vergleicht man nun Datei1 und Datei2 ergeben sich folgende Abweichungen:

Datei1:

Last mount time: Tue May 17 21:13:11 2011
Last write time: Tue May 17 21:13:11 2011
Mount count: 5

Datei2:

Last mount time: Tue May 17 21:19:19 2011
Last write time: Tue May 17 21:19:20 2011
Mount count: 7

Das bedeutet, dass /dev/sda4 in der Zeit zwichen Rechner runter- und wieder hochfahren 2 mal gemountet wurde.

Da dadurch im Dateisystem die entsprechenden Protokollierungen stattfanden, ändert es natürlich auch die md5-Summe des gesamten /dev/sda4. Ob darüber hinaus aber noch weitere Daten auf /dev/sda4 greschrieben wurden...

Obwohl es den cheat-code knoppix forensic gibt, aber sollte es bei einem live-system nicht per Standard so sein, dass keine Veränderungen an den Partitionen vorgenommen werden?

RalfonLinux

Erleuchteter

Beiträge: 2 934

Geschlecht: Männlich

5

18.05.2011, 10:09

Eigentlich schon, aber z.B. eine vorhandene SWAP-Partition wird trotzdem benutzt.

Weiterhin wird KNOPPIX wohl einen Testzugriff machen, um zu wissen, welche Mount-Points es unter /media/ anlegen muss.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop