如果你來(lái)自Windows環(huán)境�����,那么Linux處理和管理存儲(chǔ)設(shè)備的方式對(duì)你而言可能顯得格外不同。我們知道���,Linux的文件系統(tǒng)并不采用Windows那樣的物理驅(qū)動(dòng)器表示方式(如C:、D:或E:),而是構(gòu)建了一個(gè)以"/"為根的統(tǒng)一文件樹(shù)結(jié)構(gòu)。本文將深入探討Linux如何表示和管理硬盤(pán)���、閃存驅(qū)動(dòng)器等存儲(chǔ)設(shè)備。
在進(jìn)入技術(shù)細(xì)節(jié)之前,我們首先需要理解如何將額外的驅(qū)動(dòng)器和存儲(chǔ)設(shè)備掛載到文件系統(tǒng)中�,最終集成到根目錄"/"下���。在這個(gè)語(yǔ)境中���,"掛載"意味著將驅(qū)動(dòng)器或磁盤(pán)連接到文件系統(tǒng)�,使操作系統(tǒng)能夠訪問(wèn)它們�。對(duì)安全分析人員而言,深入理解文件系統(tǒng)和存儲(chǔ)設(shè)備管理機(jī)制至關(guān)重要�,這不僅涉及自身系統(tǒng)�����,更常見(jiàn)于目標(biāo)系統(tǒng)分析���。安全研究人員經(jīng)常需要使用外部媒體加載數(shù)據(jù)��、部署工具���,有時(shí)甚至需要引導(dǎo)完整的操作系統(tǒng)��。在滲透測(cè)試過(guò)程中,你需要準(zhǔn)確定位目標(biāo)系統(tǒng)上的敏感數(shù)據(jù)��,理解如何掛載新的存儲(chǔ)設(shè)備���,以及評(píng)估數(shù)據(jù)存儲(chǔ)的安全性�。本文將全面覆蓋這些主題,并詳細(xì)介紹存儲(chǔ)設(shè)備的管理與監(jiān)控技術(shù)�����。
?
設(shè)備目錄 /dev
Linux系統(tǒng)中存在一個(gè)專(zhuān)門(mén)用于管理設(shè)備文件的特殊目錄:/dev(device的縮寫(xiě))。系統(tǒng)中的每個(gè)設(shè)備都在這個(gè)目錄下有對(duì)應(yīng)的文件表示���。讓我們首先深入了解這個(gè)關(guān)鍵目錄。
kali > cd /dev
kali > ls -l
total 0
crw------- 1 root root 10,175 May 16 12:44 agpgart
crw------- 1 root root 10,235 May 16 12:44 autofs
drwxr-xr-x 1 root root 160 May 16 12:44 block
lrwxrwxrwx 1 root root 3 May 16 12:44 cdrom -> sr0
drwxr-xr-x 2 root root 60 May 16 12:44 cpu
設(shè)備文件按字母順序排列顯示���。其中一些設(shè)備名稱如cdrom和cpu較為直觀,而其他則相對(duì)晦澀��。值得注意的是sda1、sda2����、sda3、sdb和sdb1等條目���,它們分別代表了硬盤(pán)及其分區(qū)、USB存儲(chǔ)設(shè)備及其分區(qū)�。
brw-rw---- 1 root root 8, 0 May 16 12:44 sda
brw-rw---- 1 root root 8, 1 May 16 12:44 sda1
brw-rw---- 1 root root 8, 2 May 16 12:44 sda2
brw-rw---- 1 root root 8, 5 May 16 12:44 sda5
brw-rw---- 1 root root 8, 16 May 16 12:44 sdb
brw-rw---- 1 root root 8, 17 May 16 12:44 sdb1
Linux如何表示存儲(chǔ)設(shè)備
Linux采用邏輯標(biāo)簽來(lái)標(biāo)識(shí)掛載到文件系統(tǒng)的驅(qū)動(dòng)器����。這些標(biāo)簽會(huì)根據(jù)設(shè)備的掛載時(shí)間和位置動(dòng)態(tài)變化,這意味著同一個(gè)物理設(shè)備在不同時(shí)刻可能會(huì)獲得不同的標(biāo)識(shí)符。
早期Linux系統(tǒng)使用fd0表示軟盤(pán)驅(qū)動(dòng)器,使用hda表示硬盤(pán)。雖然在某些遺留系統(tǒng)中仍可能遇到這種表示方式,但現(xiàn)代系統(tǒng)已經(jīng)很少見(jiàn)到軟盤(pán)設(shè)備。采用IDE或E-IDE接口的傳統(tǒng)硬盤(pán)仍使用hda形式的標(biāo)識(shí)���,而新型的SATA(串行ATA)接口驅(qū)動(dòng)器和SCSI硬盤(pán)則采用sda的命名方式。
存儲(chǔ)設(shè)備往往會(huì)劃分為多個(gè)分區(qū)����,這些分區(qū)在Linux中用數(shù)字標(biāo)識(shí)�����。當(dāng)系統(tǒng)包含多個(gè)存儲(chǔ)設(shè)備時(shí),Linux通過(guò)字母遞增的方式為它們命名:第一個(gè)設(shè)備為sda�,第二個(gè)為sdb����,依此類(lèi)推���。這種命名規(guī)則中,sd后的字母通常被稱為主編號(hào)�。
驅(qū)動(dòng)器分區(qū)
在存儲(chǔ)管理中��,驅(qū)動(dòng)器常被劃分為多個(gè)分區(qū)以實(shí)現(xiàn)更有效的資源管理和數(shù)據(jù)隔離���。例如��,你可能需要將交換文件��、用戶主目錄和根目錄分別置于不同分區(qū)——這種策略有助于資源共享管理和權(quán)限控制��。Linux使用設(shè)備標(biāo)識(shí)符后的數(shù)字來(lái)標(biāo)記各個(gè)分區(qū)。因此��,第一個(gè)SATA驅(qū)動(dòng)器(sda)的第一個(gè)分區(qū)表示為sda1���,第二個(gè)分區(qū)為sda2����,以此類(lèi)推。
| |
|---|
| 第一個(gè)SATA驅(qū)動(dòng)器的第一個(gè)分區(qū) |
| 第一個(gè)驅(qū)動(dòng)器的第二個(gè)分區(qū) |
| 第一個(gè)驅(qū)動(dòng)器的第三個(gè)分區(qū) |
| 第一個(gè)驅(qū)動(dòng)器的第四個(gè)分區(qū) |
在安全分析過(guò)程中,了解系統(tǒng)的分區(qū)布局至關(guān)重要�����。我們可以使用fdisk工具來(lái)查看分區(qū)信息:
kali > fdisk -l
Disk /dev/sda: 20GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0x7c06cd70
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 39174143 39172096 18.7G 83 Linux
/dev/sda2 39176190 41940991 2764802 1.3G 5 Extended
/dev/sda5 39176192 41940991 2764800 1.3G 82 Linux swap / Solaris
Disk /dev/sdb: 29.8 GiB, 31999393792 bytes, 62498816 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xc3072e18
Device Boot Start End Sectors Size Id Type
/dev/sdb1 32 62498815 62498784 29.8G 7 HPFS/NTFS/exFAT
在這個(gè)輸出中,我們可以看到sda1、sda2和sda5構(gòu)成了虛擬機(jī)的20GB虛擬磁盤(pán)��,包括一個(gè)交換分區(qū)(sda5)作為虛擬RAM的擴(kuò)展���,類(lèi)似于Windows的頁(yè)面文件��。
第二部分顯示了一個(gè)標(biāo)識(shí)為sdb1的設(shè)備——字母b表明這是一個(gè)獨(dú)立的設(shè)備��。這里是一個(gè)64GB的閃存驅(qū)動(dòng)器�����,使用HPFS/NTFS/ExFAT文件系統(tǒng)�����。這些文件系統(tǒng)類(lèi)型通常見(jiàn)于macOS和Windows系統(tǒng)����,在取證分析中可能提供有價(jià)值的線索,指示設(shè)備的來(lái)源系統(tǒng)。
字符設(shè)備和塊設(shè)備
在/dev目錄中���,設(shè)備文件名的第一個(gè)字符(c或b)具有特殊含義。這些標(biāo)識(shí)反映了設(shè)備的數(shù)據(jù)傳輸方式:
- 字符設(shè)備(c):以字符為單位進(jìn)行數(shù)據(jù)傳輸,如鍵盤(pán)��、鼠標(biāo)等輸入設(shè)備
- 塊設(shè)備(b):以數(shù)據(jù)塊為單位傳輸�����,如硬盤(pán)�����、DVD驅(qū)動(dòng)器等存儲(chǔ)設(shè)備
理解設(shè)備類(lèi)型對(duì)于安全分析和性能優(yōu)化具有重要意義。
使用lsblk列出塊設(shè)備及其信息
lsblk命令(list block devices的縮寫(xiě))能夠以樹(shù)狀結(jié)構(gòu)顯示系統(tǒng)中所有塊設(shè)備的基本信息:
kali > lsblk
Name MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
fd0 2:0 1 4K 0 disk
sda 8:0 0 20G 0 disk
├─sda1 8:1 0 18.7G 0 part /
├─sda2 8:2 0 1K 0 part
└─sda5 8:5 0 1.3G 0 part [SWAP]
sdb 8:16 1 29.8G 0 disk
└─sdb1 8:17 1 29.8G 0 part /media/USB3.0
sr0 11:0 1 2.7G 0 rom
掛載和卸載
在大多數(shù)現(xiàn)代Linux系統(tǒng)中�,存儲(chǔ)設(shè)備連接時(shí)會(huì)自動(dòng)掛載���。但對(duì)安全專(zhuān)業(yè)人員而言���,理解手動(dòng)掛載過(guò)程仍然重要���,因?yàn)樵谔厥鈭?chǎng)景下可能需要使用特定的掛載選項(xiàng)���。
存儲(chǔ)設(shè)備必須同時(shí)滿足物理連接和邏輯掛載才能被操作系統(tǒng)訪問(wèn)�����。"掛載"這個(gè)術(shù)語(yǔ)源自早期計(jì)算機(jī)時(shí)代,當(dāng)時(shí)存儲(chǔ)介質(zhì)需要物理地"掛"到計(jì)算機(jī)系統(tǒng)上�。
設(shè)備在目錄樹(shù)中的連接點(diǎn)被稱為掛載點(diǎn)。Linux主要使用兩個(gè)標(biāo)準(zhǔn)掛載點(diǎn):
- /media:主要用于外部USB設(shè)備(如閃存驅(qū)動(dòng)器和外部硬盤(pán))
手動(dòng)掛載存儲(chǔ)設(shè)備
某些Linux環(huán)境下需要手動(dòng)掛載驅(qū)動(dòng)器��。掛載命令的基本語(yǔ)法如下:
kali > mount /dev/sdb1 /mnt
注意:掛載點(diǎn)必須是空目錄�,否則掛載操作會(huì)暫時(shí)遮蔽該目錄下的原有內(nèi)容。同樣��,要掛載閃存驅(qū)動(dòng)器sdc1到/media目錄:
kali > mount /dev/sdc1 /media
系統(tǒng)會(huì)在/etc/fstab(文件系統(tǒng)表)文件中維護(hù)掛載信息��,每次啟動(dòng)時(shí)都會(huì)讀取該文件����。
使用umount卸載
安全移除存儲(chǔ)設(shè)備前需要先執(zhí)行卸載操作���,這與Windows/Mac中的"彈出"設(shè)備概念類(lèi)似�����。使用umount命令(注意拼寫(xiě)沒(méi)有'n')執(zhí)行卸載:
kali > umount /dev/sdb1
重要提示:正在被訪問(wèn)的設(shè)備無(wú)法卸載�,系統(tǒng)會(huì)返回錯(cuò)誤信息����。
監(jiān)控文件系統(tǒng)
對(duì)于安全專(zhuān)業(yè)人員和系統(tǒng)管理員來(lái)說(shuō),監(jiān)控文件系統(tǒng)狀態(tài)是一項(xiàng)核心技能��。這包括獲取掛載設(shè)備信息��、檢查和修復(fù)錯(cuò)誤等�����。
獲取掛載磁盤(pán)的信息
df命令(disk free的縮寫(xiě))提供了存儲(chǔ)設(shè)備的使用情況統(tǒng)計(jì):
kali > df
Filesystem 1K-Blocks Used Available Use% Mounted on
rootfs 19620732 17096196 1504788 92% /
udev 10240 0 10240 0% /dev
/dev/sdb1 29823024 29712544 110480 99% /media/USB3.0
輸出顯示了每個(gè)文件系統(tǒng)的總?cè)萘俊⒁延每臻g和可用空間。例如�����,根文件系統(tǒng)使用了92%的空間,而USB驅(qū)動(dòng)器幾乎已滿(99%)��。
檢查錯(cuò)誤
fsck命令(file system check的縮寫(xiě))用于檢查和修復(fù)文件系統(tǒng)錯(cuò)誤:
kali > fsck
fsck from util-linux 2.20.1
e2fsck 1.42.5 (29-Jul-2012)
/dev/sda1 is mounted
e2fsck: Cannot continue, aborting.
卸載設(shè)備進(jìn)行文件系統(tǒng)檢查
執(zhí)行fsck前必須先卸載設(shè)備:
kali > umount /dev/sdb1
kali > fsck -p /dev/sdb1
fsck from util-linux 2.30.2
exfatfsck 1.2.7
Checking file system on /dev/sdb1.
File system version 1.0
Sector size 512 bytes
Cluster size 32 KB
Volume size 7648 MB
Used space 1265 MB
Available space 6383 MB
Totally 20 directories and 111 files.
File system checking finished. No errors found.
總結(jié)
深入理解Linux存儲(chǔ)設(shè)備管理對(duì)安全專(zhuān)業(yè)人員至關(guān)重要����。設(shè)備命名規(guī)則��、掛載機(jī)制�、文件系統(tǒng)檢查等知識(shí)不僅有助于日常系統(tǒng)維護(hù)�,更是進(jìn)行安全評(píng)估和事件響應(yīng)的基礎(chǔ)。特別是在涉及數(shù)據(jù)恢復(fù)�、取證分析等場(chǎng)景時(shí)�,這些技能尤為重要�。
閱讀原文:原文鏈接
該文章在 2025/1/13 11:26:05 編輯過(guò)
400 186 1886
