平常OSSLab會建議檔案系統有時候用保守點,對於後續資料救援處理會安全很多.
沒想到最近就遇到這樣真實案例了...
馬聖豪 同學是資安圈有名的逆向工程專家,台灣駭客年會講師.對於數位鑑識 資料救援也是專家.
在他的Macbook 系統上使用了最新版本 OS X 10.13 (High sierra)
並且使用了最新 AFPS 蘋果檔案系統.
在晚上拷貝檔案時候 整個系統突然Hang住.再啟動後.整個系統已不見了.
並且下了各種 APFS Mount指令全部都無效....
APFS目前沒有蘋果系統以外OS可以 Mount
所以先簡述一下APFS (以後有機會會寫詳細的實驗室報告)
APFS container 簡單說 這接近ZFS Pool
頭部為
0x01: Container Superblock
0x02: Node
0x05: Spacemanager
0x07: Allocation Info File
0x11: Unknown
0x0B: B-Tree
0x0C: Checkpoint
0x0D: Volume Superblock
這次遇到問題是. 其實從舊版本hfs 轉換為apfs 後
是有密鑰的.(非os x 密碼)
分析後找出其密鑰 順利100%恢復原有資料...
使用比較新型檔案系統 必須考量到一些狀況.一般是不建議使用居多...
#OSSLab
#AFPS
#儲存問題解決專家
zfs指令 在 OSSLab Geek Lab Facebook 的精選貼文
某位大大 提及硬體Raid 跟ZFS 的比較
"ZFS效能會比RAID HBA card好, 很多測試報告可以參考, 尤其是在rebuild時, 主要是ZFS看得到檔案分佈, 可以只復原有資料的部份, RAID HBA card看不到, 只能乖乖整顆復原, 在單顆硬碟越來越大的時候花費時間差異越明顯.
正常時候則因為可以對多顆硬碟同時送指令而加大存取頻寬, 若透過RAID HBA card則要等其轉譯處理, 常常瓶頸發生於此.
另外, ZFS屬於軟體RAID, 彈性較大, 例如raid-z3(可看成容許壞3顆的RAID5), 在RAID HBA card應該還沒出現..."
就OSSLab 理論跟實務維護跟救援
先要理解軟體跟硬體Raid 架構
http://www.osslab.org.tw/…/RAID_HBA%E8%88%87%E6%9E%B6%E6%A7…
RAID HBA card 轉譯就當代的 Raid ROC 在整合 Xor ,Dram cache, SAS PHY匯流排整合 (之後應該就進話到nvme) 已經不太存在bottleneck了 . 整體而言 還是會比Soft raid 快.
已知Filesystem 位置 是可以加快 Rebuild速度....但身為Date recovery從業人員,我是寧可 確定每一個block狀況, 不要只rebuild 已知FS ..畢竟也許那天有機會Data recovery 就要用...
最後一個就是硬體卡監控硬碟狀況跟設定 操作我覺得比software raid方便. 現在硬體Rebuild 時間4TB 約是3x~8x 小時..
還算合理
就Data recovery 的考量 盡量少用ZFS 的Storage Block結構
我們ZFS 應用偏向於虛擬化主機 , Disk Raid 用硬體卡 .上再建ZFS Pool,再分給cifs ,iscsi lun 再掛到本機 vsphere datastore...
http://www.napp-it.org/napp-it/all-in-one/index_en.html