web-dev-qa-db-fra.com

Récupérer les données de LVM formaté (Luks, Ext3) après l’installation d’Ubuntu dessus

J'ai un disque dur de 1 To et il y a quelques jours, j'ai fait un bazar

Ce disque avait:

  • Une partition EXT3 (/)
  • Une partition EXT3 (/ boot)
  • Un LUKS LVM qui avait une partition EXT3 d’environ 200 Go

Je voulais remplacer Linux Mint 14 par Ubuntu 14.04, alors j’ai démarré Ubuntu 14.04 à partir de l’USB et lancé l’assistant d’installation. L’assistant m’a demandé de "Remplacer Linux Mint 14 par Ubuntu 14.04", c’est ce que j’ai fait. J’ai également vérifié d’ajouter LVM et de chiffrer le répertoire des utilisateurs. J'ai créé un mot de passe et je l'ai installé.

L'installation s'est bloquée presque à la fin et en redémarrant via USB, j'ai remarqué que le disque dur était formaté et qu'il n'y avait que le /boot et le / (mon LUKS LVM a été formaté et remplacé par ces deux partitions).

J'ai

  • Le disque lui-même
  • Le dd image du disque après le désastre (1To img)
  • Le mot de passe pour déverrouiller le LVM: le plus ancien (que je veux récupérer) et le plus récent (pour déverrouiller la partition racine)

Question
Comment puis-je récupérer mes précieuses données?

partitioningencryptiondata-recoverylvm
3
Denys Vitali

Malheureusement, par homme cryptsetup

En-tête LUKS: Si l'en-tête d'un volume LUKS est endommagé, toutes les données sont perdu définitivement sauf si vous avez une sauvegarde en-tête. Si un emplacement de clé est endommagé, il ne peut être restauré qu'à partir d'une sauvegarde d'en-tête ou si un autre emplacement de clé actif avec une phrase de passe connue n'est pas endommagé. Endommager l'en-tête de LUKS est quelque chose que les gens réussissent à faire avec une fréquence surprenante. Ce risque résulte d'un compromis entre sécurité et sûreté, car LUKS est conçu pour rapide et sécurisé en effaçant simplement l’en-tête et la zone d’emplacement pour clé . ”

Et par votre commentaire (il y a 11 heures),

Merci pour votre réponse! Malheureusement non, je ne l'ai pas fait. Je n'ai pas de sauvegarde de la clé ni celle de l'en-tête de LUKS.

Je pense que vos disques ont été (effectivement) effacés en toute sécurité; c'est-à-dire que les secteurs sont (du moins en théorie) impossibles à distinguer des données aléatoires.

3
Elliott Frisch

Vous n'êtes pas assuré de pouvoir récupérer tous vos fichiers. Si vous avez quelque chose de précieux dans les fichiers supprimés, essayez-le ensuite.

Il est recommandé de démonter ce partition. Il n’est pas recommandé d’écrire sur une partition afin de conserver les chaînes de données sur le lecteur telles quelles. En d'autres termes, évitez d'écraser. Arrêtez d'utiliser ce lecteur immédiatement!

Démarrez à partir de Live CD ou même mieux à partir d'un lecteur différent avec le système d'exploitation installé.

Ensuite, vous devez exécuter le logiciel qui recherche et récupère les fichiers/données de votre stockage physique. Il est toujours possible que les systèmes d’exploitation ne puissent pas voir les fichiers supprimés car leurs références ont été supprimées de File Table ou que File Table a été corrompu.

Scalpel

Il s'agit d'un outil de récupération indépendant du système de fichiers pour Linux. La dernière version est la 2.0. Installez-le dans Ubuntu avec

Sudo apt-get install scalpel

Vient ensuite l'édition de texte - le fichier de configuration est /etc/scalpel/scalpel.conf. Vous constaterez que tout a été commenté - décommentez le format de fichier que vous souhaitez récupérer. Par exemple, si je veux récupérer un fichier Zip supprimé, je vais décommenter la section du fichier .Zip dans scalpel.conf.

Ensuite, dans un terminal, lancez:

Sudo scalpel  [device/directory/file name] -o [output directory]

Le répertoire de sortie, dans lequel vous souhaitez stocker les fichiers récupérés, doit être vide avant d'exécuter Scalpel. sinon, vous obtiendrez une erreur.

Photorec

C'est l'utilitaire le plus rapide des trois. Il est installé par le package utilitaire testdisk. Si vous ne voulez pas jouer avec la ligne de commande, c'est le meilleur utilitaire pour vous. Il suffit d’exécuter photorecas en tant qu’utilisateur root dans un terminal et vous verrez une interface utilisateur Nice basée sur ncurses.

Sélectionnez le périphérique à rechercher, et il vous demandera le type de table de partition. Sélectionnez le vôtre dans mon cas, c’est Intel. Ensuite, vous devez sélectionner le système de fichiers ou la partition du disque de périphérique. Ensuite, il vous invite à choisir le système de fichiers.

Enfin, il vous demandera un dossier de sortie dans lequel stocker les fichiers récupérés. Après avoir fait votre choix, appuyez sur y pour continuer.

Remarque: Les utilitaires ci-dessus ne récupéreront pas les fichiers remplacés, car dans le cas d’un remplacement, vous remplacez l’inode lui-même, il n’est donc pas possible de le récupérer.

4
Ruslan Gerasimov

Vous pouvez essayer gpart (note: pas gparted!), Il peut deviner les limites des partitions perdues.

gpart m'a sauvé une fois dans une situation similaire, bien que mes partitions n'aient pas été cryptées. Vous devriez quand même essayer, cependant.

0
kraxor