Rettungspinguin
Teil 2: Linux als Notfall-System
- Linux als Notfall-System
- Teil 2: Linux als Notfall-System
- Teil 3: Linux als Notfall-System
Ist die Partitionstabelle beschädigt oder versehentlich überschrieben, lassen sich Typ und Anfang der vorhandenen Dateisysteme nicht ermitteln, weshalb eine Reparatur nicht möglich ist. Bei Festplatten, die nur eine große Windows-Partition enthalten, ist schnell eine Lösung gefunden: Es genügt, mit fdisk eine Partition des richtigen Typs von vorne bis hinten anzulegen. Anders die Situation, wenn mehrere Partitionen (Windows, Linux, Linux Swap) auf einer Festplatte koexisitieren.
Für die Suche nach den Partitionsanfängen schicken Knoppix und Co. die beiden Werkzeuge TestDisk und gpart (guess partition) ins Rennen. Einen vollen Scan nach Partitionen starten Sie mit
gpart -f /dev/hda
Sind Sie mit dem Scan-Ergebnis so weit zufrieden, schreiben sie die Partitionstabelle mit
gpart -W /dev/hda /dev/hda
Erscheint die vermutete Partitionstabelle nicht plausibel, sollten Sie die Partitionstabelle in eine Datei schreiben, diese mit fdisk bearbeiten und später mit dd auf die Festplatte kopieren.
Da gpart auch Partitionen findet, die vor langer Zeit gelöscht wurden, aber noch Überreste von Dateisystemen enthalten, sollten Sie jede gefundene Partition auf Plausibilität prüfen. Nach dem gleichen Prinzip, aber mit einem etwas komfortableren Frontend arbeitet TestDisk. Das Tool korrigiert zudem Fehler, die durch defekte Bootloader verursacht werden. Dafür ist die Erkennungsleistung von gpart besser - TestDisk zeigt eine höhere Zahl von Fehlalarmen.
Virtueller Kammerjäger
Dank Start vom sauberen Medium scheinen Live-Medien ideal für die Virensuche geeignet sein. Leider hinken die meisten freien Virenscanner deutlich der kommerziellen Konkurrenz hinterher. Sie bringen zwar beim Aufspüren typischer Mail-Würmer gute Erkennungsleistungen, weshalb sie gerne auf Mailsystemen eingesetzt werden, finden aber selten Schadsoftware, die sich bereits eingenistet hat. Dank transparent über dem Read-Only-Dateisystem der CD liegendem UnionFS kann jedoch unter Knoppix und Insert Software nachinstalliert werden. Recht gut mit Live-CDs harmoniert AntiVir von www.freeav.de, der nach Download und Entpacken mit dem Kommando ./install ins UnionFS installiert wird. Anschließend aktualisiert
antivir --update
die Signaturen, woraufhin der Scanner bereitsteht. Zu überprüfende Partitionen müssen gemountet sein:
antivir -z -s /media/hda1
Zum Testzeitpunkt harmonierte die in Java-Oberfläche leider nicht optimal mit Live-CDs, da sie alle Dateisysteme unterhalb vom Wurzelverzeichnis scannte, also auch den Inhalt des komprimierten Live-Dateisystems und dessen Containerdatei.
Findet AntiVir Schädlinge, sollen diese in der Regel gleich beseitigt werden. Leider bringt Linux noch keinen Kernel-NTFS-Treiber mit, der sichere Schreibzugriffe zulässt. Praktisch alle Live-CDs setzen deshalb auf so genannte Userspace-Treiber, die zwar sehr langsam arbeiten, aber immerhin für die Desinfektion einzelner Dateien ausreichen.
Unter Knoppix genügt ein Rechtsklick auf die betreffende Partition und die Wahl des Menüpunktes "Lese-Schreibmodus ändern", um Schreibrechte zu erlangen. Anschließend können mit
antivir -z -s -e -ren /media/hda1
gefundene Schädlinge ihrer angemessenen Behandlung zugeführt werden.
Rückstandsfrei sauber
Dass das Formatieren einer Festplatte nicht genügt, um alle Daten rückstandsfrei zu löschen, zeigt bereits PhotoRec. Was also tun, damit der Käufer Ihres Rechners nicht an Ihre Urlaubsbilder und E-Mails herankommt? Am besten ist es, die Festplatte ohne Rücksicht auf Partitionen Block für Block zu überschreiben. Ein Werkzeug, das dies nach den Spezifikationen der US-Militärs mit alternierenden Mustern tut, ist DBAN.
Weil aber seit dem Ende der Sieben-Zoll-Floppies noch nie mittels Restmagnetismus Daten rekonstruiert werden konnten, gehört das siebenmalige Überschreiben als einzig sichere Löschmethode ins Reich der Agententhriller. Das Nullen mit einer Knoppix-CD sollte genügen und ist darüber hinaus flotter. Zum Einsatz kommt das Universal-Tool dd, das die Inhalte einer (Geräte-) Datei auf eine andere kopiert, mit dem Befehl
dd if=/dev/zero of=/dev/hda
für die erste Festplatte im System /hda. Mit Software alleine lassen sich jetzt keine Daten mehr rekonstruieren. Sollten Sie befürchten, dass jemand die Festplatten zerlegt und anhand kleinster Unterschiede in der Felddichte einzelne Bits wiederherstellt, können Sie zunächst Zufallszahlen als Datenquelle verwenden und in einem zweiten Durchgang noch einmal Nullen drüberschreiben:
dd if=/dev/urandom of=/dev/hda
dd if=/dev/zero of=/dev/hda
Wollen Sie private Daten vor dem Einsenden einer defekten Festplatte an den Hersteller löschen, wird dd schnell fehlschlagen. Auch hier ist dd_rescue die Antwort. Der Parameter -A ist nicht notwendig, da bei /dev/zero als Eingabedatei keine Lesefehler zu erwarten sind:
dd_rescue /dev/zero /dev/hda
Partitionsrochade
Auch für viele Arbeiten an der Partitionierung Ihrer Festplatten müssen Sie keine teure kommerzielle Software bemühen. Knoppix und Insert bringen das Tool gparted mit, das beim Verkleinern und Vergrößern von Partitionen hilft. Zudem können Sie im Bootmenü die etwas aktuellere Gparted-Live-CD auswählen. Neuere Versionen von gparted (ab 0.3) können NTFS-Partitionen auch verschieben. Wenn Sie gparted von einer Knoppix- oder Insert-CD starten, müssen Sie vor Änderungen an der Partitionstabelle eingehängte Partitionen mit dem Befehl umount unmounten und die Verwendung des Auslagerungsspeichers stoppen:
swapoff -a
Dass keine Partition mehr gemountet ist, zeigt df. Mit top oder free erhalten Sie die Bestätigung, dass Swap deaktiviert wurde. Sollten Sie NTFS-Partitionen verkleinern wollen, ist es ratsam, das enthaltene Dateisystem vorher unter Windows zu defragmentieren und die Auslagerungsdatei beim Herunterfahren löschen zu lassen. Den Partitionierer starten Sie mit sudo gparted oder aus dem Startmenü der Live-Scheibe. Falls Sie Platz für nur eine Linux-Installation schaffen wollen, reicht es, die Windows-Partition zu verkleinern. Aktuelle Distributionen legen dann im freien Platz selbsttätig Partitionen an.
Fazit
Tatsächlich lässt Knoppix ?idealerweise unterstützt durch Gparted Live und Insert? hinsichtlich der Funktionalität kaum Wünsche offen. Leider sind viele Toolswie ntfsclone noch reine Kommandozeilenwerkzeuge.
