Die COMPUTERWOCHE hat in einem anderen Beitrag spezielle Linux-Systeme für die Zeit nach dem Crash vorgestellt. Damit haben Administratoren und IT-Techniker kostenlose und gute Software-Sammlungen zur Hand, die bei der Wiederherstellung von Daten helfen. Dieser Artikel dient dazu, auf einige dieser Tools einen etwas genaueren Blick zu werfen. Ebenso wollen wir zeigen, wie Sie recht einfach eine eigene Rettungs-Distribution erschaffen können.

Für viele der Tools müssen Sie auf die Kommandozeile. Geübte Computer-Benutzer tun sich mit dem Umgang dieser Werkzeuge dennoch nicht sonderlich schwer. Eine gewisse Eingewöhnungs- und Lernzeit sollte man trotzdem einplanen. Das oftmals größere Hindernis ist zu wissen, wie die Tools eigentlich heißen und was diese genau machen.

Als kleinen Tipp am Anfang empfiehlt die COMPUTERWOCHE, dass Sie sich für den Lernprozess einen nicht benutzten USB-Stick zur Brust nehmen und diesen allen möglichen digitalen Grausamkeiten aussetzen. Nach den Schandtaten versuchen Sie, die verlorenen Daten wiederherzustellen. Sie werden überrascht sein und bekommen schnell ein Gefühl, was mit den hier vorgestellten Datenrettern machbar ist.

TestDisk im Überblick

TestDisk wurde laut eigener Aussage ursprünglich entwickelt, um verlorene Partitionen wieder herzustellen und/oder nicht startende Festplatten wieder bootfähig zu machen. Dies trifft vor allen Dingen unter Umständen zu, wenn fehlerhafte Software, Viren oder menschliche Fehler die Auslöser waren. TestDisk ist ein mächtiges Werkzeug und kann folgendes:

• Partitionstabellen reparieren und gelöschte Partitionen wiederherstellen

• Fat32-Bootsektoren aus seiner eigenen Sicherung zurückspielen

• Fat12-, Fat16-, Fat32- oder NTFS-Bootsektoren wieder mittels der Funktion rebuild aufbauen

• Dateizuorndungstabellen bei Fat-Dateisystemen reparieren

• Die MFT (Master File Table) von NTFS mittels des Spiegels zurücksichern

• Backup-Superblocks der Dateisysteme ext2, ext3 und ext4 finden

• Gelöschte Dateien von Fat, NTFS und ext2 wiederherstellen

• Dateien von gelöschten Fat-, NTFS-, ext2-, ext3- und ext4-Partitionen kopieren

TestDisk eignet sich laut Aussage der Entwickler für Anfänger und Fortgeschrittene. Dabei kommt es allerdings auch auf den Wissensstand von Datenrettung an. Es ist also nicht jede Funktion für jeden Anwender geeignet.

Verlorene Partitionen kann TestDisk für folgende Dateisysteme wieder finden: BeFS (BeOS), BSD Disklabel, CramFS, FAT12, FAT16, FAT32, exFAT, HFS, HFS+, JFS, ext2, ext3, ext4, Linux RAID, Linux Swap (Version 1 und 2), LVM, LVM2, Mac Partition Map, Novell Storage Services NSS, NTFS (Windows NT/2K/XP/2003/Vista/2008), ReiserFS (Version 3.5, 3.6, 4), Sun Solaris i386 Disklabel, UFS, UFS2 und XFS.

Das Open-Source-Tool hat diverse Einschränkungen, die für den normalen Anwender in der Regel eine untergeordnete Rolle spielen. Diese gelten übrigens auch für das nächste vorgestellte Werkzeug in diesem Artikel - photorec, das ebenfalls von cgsecurity.org entwickelt wird.

TestDisk läuft nach Aussage der Entwickler unter DOS, Windows NT4, 2000, XP, 2003, Vista, Linux, FreeBSD, NetBSD, OpenBSD, SunOS und MacOS. Für Linux ist das Werkzeug in den meisten Repositories enthalten. Auch dieser Absatz gilt gleichfalls für photorec.

Mit Photorec Daten retten

Das Tool photorec kommt genau genommen mit der Testdisk-Suite, ist aber ein eingeständiges Werkzeug. Damit können Sie Daten wieder herstellen lassen, selbst wenn Sie die Festplatte aus Versehen formatiert haben. Das Tool sucht nach bekannten Dateiformaten und sichert diese Dateien auf ein von Ihnen vorbestimmtes Medium wieder.

Da nach einem Formatieren die Informationen über zum Beispiel Datei- und entsprechende Ordner-Namen gelöscht sind, kann dieser nicht zurückgesichert werden. Das bedeutet, dass photorec in so einem Fall eigene Dateinamen vergibt und die Daten so abspeichert. Bei sehr vielen Daten ist es natürlich ein großer Aufwand, die Dateien wieder selbst zu benennen und in die entsprechenden Ordner einzupflegen. Aber das ist in der Regel immer noch besser als kompletter Datenverlust.

photorec funktioniert leider weniger gut mit ReiserFS. Das häng damit zusammen, dass ReiserFS wegen Optimierungszwecken Dateien innerhalb des B-Trees speichern kann. Mit den üblichen Dateisystemen wie zum Beispiel Fat, NTFS, ext2, ext3, HFS+ und so weiter funktioniert photorec sehr gut.

Schadcodejagd mit ClamAV und Konsorten

Zu einer guten Datenrettungs-Distribution gehört natürlich auch der digitale Kammerjäger. Wie hinlänglich bekannt is, gibt es dafür ClamAV, das sich auf der Konsole via clamscan aufrufen lässt. Die Virendatenbank lässt sich mit freshclam auf den neuesten Stand bringen. Wenn Sie ClamAV über das Repository installieren, sollte der Update-Prozess selbständig laufen. Dennoch sollten Sie vor einer Benutzung überprüfen, ob sich die Virendatenbank auf dem neuesten Stand befindet. Gerade dann, wenn die Rettungs-Distribution nicht regelmäßig im Einsatz ist.

Das Paket nautilus-clamscan fügt dem Dateimanager-Menü ein "Scan for Viruses" hinzu, das Sie mittels Rechtsklick aufrufen können. Eine grafische Oberfläche für ClamAV bietet das Paket clamtk.

Speziell für das Aufspüren von rootkits sind die Konsolen-Programme chkrootkit und rkhunter entwickelt worden. Suchen Sie in diversen Repositories nach rootkit, wird auch das Programm unhide angezeigt. Damit lassen sich versteckte Prozesse ausfindig machen. Das Paket unhide wird in der Regel automatisch mit rkhunter installiert. Diese Programme auf einem Rechner oder Server zu haben, kann auf gar keinen Fall etwas schaden. Regelmäßige Scans damit dauern nicht lange und können vor bösen Überraschungen schützen.

Mit FSArchiver und partimage komplette Partitionen sichern

Mit partimage oder FSArchiver können Sie ganze Partitionen in eine Datei wegsichern. Während partimage durch die Pseudo-grafische Oberfläche etwas einfacher zu bedienen ist, bringt FSArchiver dafür mehr Funktionen mit. Das Tool partimage unterstützt laut eigener Aussage zum Beispiel derzeit kein ext4 oder btrfs. FSArchiver hingegen kann jedes Dateisystem sichern, das der laufende Kernel einbinden und lesen kann. Ebenso können Sie damit Dateisysteme konvertieren. Also Sie sichern zum Beispiel ein ext3-Dateisystem und spielen dies als ReiserFS wieder zurück.

partimage gibt es auch als Server-Daemon. Damit könnten Sie eine Partition direkt auf einen dedizierten Server spiegeln. Das funktioniert natürlich auch in die andere Richtung. Somit lässt sich partimage auch gut für Masseninstallationen einsetzen.

Es ist eine ganz gute Idee, Partitionen wenn möglich zu sichern, bevor Sie mit einer herumdoktern. Im schlimmsten Fall können Sie den letzten Stand wiederherstellen und andere Rettungs-Versuche starten.

Selbst ist der Admin: Eigenes Rettungs-Betriebssystem konstruieren

Sollten ihnen die kleinen Rettungs-Distributionen nicht zusagen und Sie hätten gerne ein etwas umfangreicheres Betriebssystem, lässt sich dies eigentlich mit wenig Aufwand bewerkstelligen. Wir erläutern es anhand einer der populärsten Linux-Distributionen: Ubuntu. Die Standard-Ausgabe bringt mit GNOME eine einfach zu bedienende und komplette Desktop-Umgebung mit.

Gedanken zu Anfang

Bekanntlich lässt sich Ubuntu Linux als Live-CD starten. Danach können Sie das Betriebssystem mittels System - Systemverwaltung - Systemmedienhersteller auf einen USB-Stick spielen. Starten Sie nun von dem USB-Gerät, können Sie dieses OS behandeln, als wäre es auf einer Festplatte. Das bedeutet, es lässt sich weitere Software einspielen, nicht benötigte Sachen löschen und so weiter. Dies bildet nun die Basis für unsere eigene Rettungs-Distribution.

Die nächste Frage ist, welche Werkzeuge auf eine gute Rettungs-Distribution gehören. Das liegt natürlich im eigenen Ermessen. Da die meisten dieser Tools allerdings nicht viel Platz brauchen, sollten Sie so viele wie möglich auf den USB-Stick packen.

TrueCrypt kann nicht schaden

Sollten Sie auf Ihrer eigens zusammengestellten Distribution auch private Daten speichern wollen, ist TrueCrypt auf tragbaren Massenspeichern natürlich ein muss. Sie können damit nicht nur eigene Daten verschlüsseln, sondern auch auf nicht mehr startenden Systemen verschlüsselte Container oder Partitionen öffnen und die Daten wiederherstellen. TrueCrypt ist eines der wenigen Werkzeuge, die sich nicht über das Repository einspielen lassen. Sie können es allerdings kostenfrei aus dem Download-Bereich der Projektseite herunterladen.

Festplattenstatus: S.M.A.R.T

Ein Werkzeug, um den S.M.A.R.T.-Status von Festplatten zu überprüfen, bringt Ubuntu bereits mit. Es nennt sich Laufwerksverwaltung und befindet sich unter der Systemverwaltung. Wollen Sie diese Prüfung lieber auf der Konsole durchführen, installieren Sie einfach die smartmontools aus dem Repository. Damit stehen geübten Anwendern auch mehr Funktionen zur Verfügung. Wem das auf der Konsole zu frickelig ist, kann sich zusätzlich mit dem Paket gsmartmontools eine grafische Oberfläche installieren.

Zwischengedanken

Wie Sie schon bemerkt haben, sind in unserem Szenario der Fantasie wohl nur durch den maximalen Speicherplatz des USB-Sticks Grenzen gesetzt. Wenn Sie einen Hybriden zwischen Desktop- und Rettungs-System wollen, dann haben Sie alle Möglichkeiten dazu.

Sollte Sie nicht wissen, welche Rettungs-Tools zur Verfügung stehen, schauen Sie sich einfach mal die Paketlisten der bekannten Rettungs-Distributionen an. Danach suchen Sie nach gewünschten Programmen im Repository Ihrer Linux-Distribution.

Kostenlose Distributionen zur Datenrettung

Wer sich die oben genannten Tools nicht mühsam selbst zusammensuchen möchte, kann auch auf den Einsatz spezieller Distributionen zurückgreifen. Es gibt einige Linux-Abkömmlinge, die sich ganz der Daten-Rettung und -Sicherheits verschrieben haben. Unter Open-Source-Kennern stehen diese schon lange hoch im Kurs und befinden sich oft in der Werkzeug-Kiste von IT-Professionellen oder Administratoren.

Parted Magic

Wichtig bei Parted Magic ist, dass es sich komplett in den Arbeitsspeicher starten lässt. Dafür braucht das System aber mindestens 312 MByte RAM. Das Gute daran ist, dass Sie die CD auswerfen und eventuell Daten brennen können.

Parted Magic startet per Standard in einen grafischen Modus. Das Projekt wurde ursprünglich mit dem Ziel "mobiles Partitionieren" entwickelt. Es hat sich aber im Laufe der Jahre als vollwertiger Datenretter gemausert.

Neben GParted, Mozilla Firefox und Xfburn finden Sie zahlreiche Tools zur Datenrettung in der Distribution. Auch TrueCrypt ist an Bord. Eine vollständige Liste aller Programme stellen Ihnen die Entwickler auf der Projektseite zur Verfügung. Stöbern Sie einfach mal darin. Viele Datenrettungs-Werkzeuge sind für die Kommandozeile und auf den ersten Blick nicht sichtbar.

Sie können Parted Magic auch auf einen USB-Stick installieren. Laut eigener Aussage ist die einzig unterstützte Methode für diesen Vorgang die Verwendung von UNetbootin. Das ist aber eher ein Vorteil, weil es dieses Tool für Windows, Linux und Mac OS X gleichermaßen gibt.

Parted Magic ist derzeit in der Version 2012_04_21 verfügbar. Die Entwickler bieten drei verschiedene Versionen an. Die Standard-Ausgabe sollte auf den meisten Rechnern funktionieren. Dennoch gibt es eine i486-Version, die sich auf Rechnern einsetzen lassen, die älter als ein Pentium III sind. Das Abbild für x86_64 ist speziell für 64-Bit-Architekturen entwickelt. Auch wenn sich darauf die Standard-Version verwenden ließe, können Sie zum Beispiel nicht in einem 64-Bit-Betriebssystem via chroot ohne diesen Kernel operieren.

Ubuntu Rescue Remix

Anders als Parted Magic bringt Ubuntu Rescue Remix keine grafische Oberfläche mit sich. Sie lässt sich von daher nicht ganz so einfach verwenden, braucht aber weniger System-Ressourcen. Die aktuelle Version basiert auf Ubuntu 12.04 LTS "Precise Pangolin". Auch hier finden Sie zahlreiche in diesem Artikel bereits erwähnte Werkzeuge wieder. Als Neuzugang in Version 12.04 ist ddrutility zu verbuchen.

Interessant für Ubuntu-Anwender ist, dass es für die Werkzeug-Sammlung ein Launchpad gibt. Das bedeutet, Sie können die Ubuntu-Installation mit der kompletten Datenretter-Sammlung auf einen Streich nachrüsten und hätten eine grafische Oberfläche. Das gilt auch für startfähige USB-Sticks, denen permanenter Speicherplatz zugewiesen wurde. Die aktuelle Version finden Sie im Download-Bereich der Projektseite.

SystemRecueCd

Die Distribution SystemRecueCd ist so gesehen eine Mischung der Konzepte aus Parted Magic und Ubuntu Rescue Remix. Sie startet zwar zunächst in einen Konsolen-Modus, bietet allerdings die Möglichkeit einer grafischen Oberfläche. Per Standard und dem Aufrug wizard wird X.Org und Xfce gestartet. Sollte das aus irgendeinem Grund schief gehen, können Anwender auf Xfbdev zurückgreifen.

Neben zahlreichen Konsolen-Werzeugen bietet die SystemRescueCd Midori als Browser und GParted zum Partitionieren von Massenspeichern an. Bei dieser Distribution lohnt sich ebenfalls ein Blick in die Liste der System-Tools.

Auch die SystemRescueCd lässt sich auf einen startfähigen USB-Stick installieren. Die Entwickler stellen hierfür eine detaillierte Anleitung zur Verfügung. Ein ISO-Abbild der neuesten Ausgabe gibt es bei sourceforge.net.

Clonezilla

Diese Distribution ist rein für Klonaufgaben gemacht. Sie können damit komplette Festplatten oder einzelne Partitionen kopieren. Clonzilla unterstützt sehr viele Dateisysteme. Kann es mit einem Dateisystem umgehen, klont es lediglich belegte Blöcke. Das kann unter Umständen sehr viel Zeit sparen. Ist ein Datensystem nicht offiziell unterstützt, verwendet Clonezilla ein dd und kopiert Sektor für Sektor.

Mit Clonezilla lassen sich auch Masseninstallationen vornehmen. Die Entwickler sprechen von 40 und mehr Computern gleichzeitig. Via Multicasting konnte in einem Test ein Abbild von 5,6 GByte auf 41 Rechner in ungefähr 10 Minuten gespielt werden.

Sie können Abbilder auf die lokale Festplatte, via SSH-Server, Samba oder NFS klonen. Die Spezial-Distribution wird gerne als Open-Source-Ghost bezeichnet. Mit der Eigenentwicklung drbl-winroll können Sie den Hostnamen, SID und Gruppe von geklonten Windows-Rechnern automatisch ändern lassen. Sie finden die aktuelle Version im Download-Bereich.

Fazit

Die Open-Source-Datenretter stehen ihren kostenpflichtigen Vertretern oftmals in wenig nach. Allerdings sind sie oft weniger bekannt. Ebenso kann es vorkommen, dass man auf grafische Oberflächen verzichten und sich mit der Kommandozeile begnügen muss. Dies stellt in der Regel aber nach geringen Einarbeitungszeiten kein Problem dar. Datenrettungs-Werkzeuge werden schließlich nicht entwickelt, um einen Schönheitswettbewerb zu gewinnen.

Die Open-Source-Gemeinde macht sehr gute Arbeit in Sachen Datenrettung. So lange Massenspeicher keinen physikalischen Schaden haben, stehen die Chancen einer vollständigen Wiederherstellung ihrer Daten wirklich gut. Sollte man zum Beispiel aus versehen etwas gelöscht oder eine Festplatte formatiert haben, heißt das Motto erst mal durchschnaufen, überlegen und auf keinen Fall weitere Daten auf dieses Medium schreiben. Holen Sie sich notfalls beim Linux-Kenner ihrer Wahl weitere Hilfe und fragen Sie um Rat, bevor Sie viel Geld für Rettungs-Software ausgeben. (ph)