De la récupération de données...

Par Sid, lundi 23 juillet 2007 à 12:35 :: (In)Sécurité :: lu 3718 fois :: #204 :: rss :: atom
Read it in english with Google

Disque dur

resque trois mois après la mort clinique de mon disque dur à une trentaine de milliers de pieds d'altitude, quelque part au dessus de l'Atlantique Nord, j'ai enfin reçu les résultats de la récupération de données. J'avais bien commencé par confier mon disque à un spécialiste, mais la panne manifestement mécanique, et donc difficile à résoudre, m'a forcé à faire appel à des moyens plus conséquents.

Bien qu'ayant apparemment récupéré l'intégralité des données contenues sur le support, soit quelques dizaines de giga-octets, je dois avouer que je reste un peu mitigé sur le déroulement des opérations. Je suis certes satisfait du résultat final de la prestation, mais ce ne fut pas sans peine. En outre, cette expérience fut pleine d'enseignements que je me propose de partager avec vous.

Le premier enseignement est une confirmation de ce que tout le monde sait, ou devrait savoir, mais qu'une grosse majorité n'applique pas. La seule véritable parade à la perte de données reste la bonne vieille sauvegarde. Elle seule vous permettra de récupérer rapidement vos données et de restaurer votre système. Certes, vous allez perdre au pire quelques jours de travail, mais comparé avec ne plus rien avoir du tout, la question ne se pose pas. Donc, trois mots d'ordre à retenir : backup, backup et backup. L'argument généralement avancé pour justifier l'absence de backup est que ça demande du stockage additionnel qui coûte cher. Soit. Pour vous donner un ordre d'idée, cette récupération a coûté une vingtaine de fois le prix du disque perdu. Éloquent non ? Bref, si j'avais eu ne serait-ce qu'un backup de mon disque avant de m'envoler pour Cansecwest, je n'aurais eu à vivoter sur un système temporaire que pendant une semaine et j'aurais pu restaurer le système d'origine la semaine suivante. Et non trois mois plus tard...

J'ai récemment disserté sur la sauvegarde en ligne. Si je n'envisage pas cette solution pour la mise en place d'un vrai backup, elle s'avère utile comme solution additionnelle pour tenir à disposition certaines données bien particulières qu'on voudrait pouvoir récupérer très rapidement. On pensera à des clés privées, des keyrings et autres certificats, des stockages de mots de passe quand on en utilise, des fichiers de configuration spécifiques^[1], quelques utilitaires à réinstaller rapidement. Bref tout ce qui va permettre de reprendre rapidement des activités normales. On pensera également aux emails, forcément. Et là, je ne cesserai probablement jamais de remercier IMAP qui m'a sauvé du désastre une fois encore. Ayant la chance de ne pas souffrir de quota sur mes boîtes personnelles, j'y conserve presque cinq années de correspondance^[2], parfois plus... Au boulot, un quota relativement bas m'oblige à faire du stockage local, pour autant, le tampon que cela crée en ligne permet clairement de tenir la distance. Bref, mettre quelque part en ligne quelques informations^[3] permet de continuer à bosser en attendant d'avoir accès à la sauvegarde. Comme le fait très justement remarquer Meik en commentaire, une clé USB fera également une bonne trousse de premiers secours, ayant l'avantage de ne pas nécessiter un accès à Internet.

Si vous n'avez toujours pas compris le message, je vais vous le répéter encore une fois : faites des sauvegardes. À côté d'une récupération, un deuxième disque dur ne coûte pas cher du tout pour faire un miroir de vos données. Et pour ceux qui confondent sauvegarde et RAID, sachez que sont deux choses différentes et l'un ne doit pas empêcher l'autre. Le RAID est une solution de disponibilité^[4], la sauvegarde une solution de réponse à incident. En particulier, le RAID ne vous protège pas de l'effacement "involontaire" de données. Il se trouve d'ailleurs qu'une bonne partie du revenu des sociétés de récupération de données provient de grappes RAID, nettement plus fastidieuses, donc chères, à traiter. Comme quoi...

La prestation maintenant. Je me retrouve au final avec trois disques devant moi. Le cadavre, évidemment, qui m'a été sympathiquement retourné. À ses côtés, deux disques de 160Go chacun. Le premier contient le résultat standard de la prestation, c'est à dire mes fichiers. Sur le second se trouve une image complète de mon disque, opération pour laquelle j'ai dû batailler un peu. Le second enseignement, c'est que si vous faites appel à ce type de prestation, il faut être très clair sur ce que vous voulez. Ce que je voulais, c'était une image de chacune de mes huit partitions^[5]. Pourquoi ? D'abord parce que l'une d'entre elle est chiffrée. J'ai donc besoin des données brutes ce qu'une récupération de fichiers ne peut pas me donner. Ensuite parce que j'ai envie de restaurer le système. J'ai donc besoin du contenu des fichiers, certes, mais aussi de leurs attributs. Je ne m'attendais pas à ce que ce genre de demande puisse être mal comprise ou poser un problème, bien au contraire, pensant qu'une simple copie bit-à-bit du support serait même plus simple à réaliser. Et bien non, ce n'est pas comme cela que ça se passe. Chez ce prestataire, récupération de données veut dire récupération de fichiers, et il a fallu quelques explications pour obtenir une image de mon disque en sus. Heureusement qu'avant toute opération, ils envoient un devis avec un bilan de ce qu'ils pourront récupérer, ce qui m'a permis de m'apercevoir que si nous parlions la même langue, le langage était manifestement différent.

J'ai donc ce disque USB, formatté en NTFS^[6], contenant l'arborescence et le contenu des six partitions EXT3, chacune dans son répertoire. Manquent forcément la partition de swap et la partition chiffrée. À côté, un disque IDE de 3,5" contenant l'image complète du disque original, auquel je vais accèder avec un indispensable adaptateur IDE vers USB. Troisième leçon de valeur : trouvez-vous un adaptateur IDE vers USB, vous n'imaginez pas combien c'est pratique, surtout dans ce genre de cas. Après un survol rapide, c'est ce dernier qui va s'avérer utile, et pas le premier, qui vient de se voir attribuer le rôle de futur disque de sauvergarde.

L'image s'avère en effet totalement exploitable. La table des partitions est lisible, je peux toutes les monter, même la partition chiffrée se monte sans problème. Maintenant, il s'agit de procéder doucement et par étapes pour ne pas tout flinguer si près de la ligne d'arrivée. Je commence donc par faire un backup de chaque partition sur une machine en RAID, histoire de les conserver au frais. Au cas où. J'aimerais bien ensuite passer ce disque en lecture seule pour éviter toute manipulation malheureuse, mais ce n'est pas possible matériellement sur ce modèle. Je vais ruser en changeant les droits sur les devices associés lorsqu'ils sont créés par udev, avec dans le fichier permissions.rules quelque chose de ce genre :

KERNEL=="sda[0-9]*", MODE="0400"

Ensuite, chaque partition sera montée en lecture seule :

# mount -o ro /dev/sda1 /image/
# mount -o ro /dev/sda2 /image/usr/
[...]

Je branche maintenant le disque sur lequel je vais redescendre mes données, ce qui me donne cette magnifique pile de disques tous branchés en USB, et passe à son partitionnement.

Je ne vais en effet pas faire directement une image, ayant décidé de modifier la taille de certaines partitions. En outre, comme je n'ai aucune garantie sur l'intégrité de l'image fournie, je préfère passer par une copie de plus haut niveau qui me permettra de voir les éventuels problèmes. De plus, le nouveau disque n'est pas identique à l'ancien et je ne voudrais pas que de sombres histoires de géométrie fassent tout capoter. Une fois le disque partitionné et chaque partition correctement formatée, je peux monter ma nouvelle arborescence :

# mount /dev/sdb1 /target/
# mount /dev/sdb2 /target/usr/
[...]

Il ne me reste à présent plus qu'à copier les données du répertoire image vers le répertoire target. Là, on trouve plusieurs écoles. Certains utilisent tar :

# cd /image
# tar cf - . | ( cd /target; tar xfp -)

D'autres que je suspecte de vouloir se la pêter pencheront pour cpio :

#cd /image
# find . -depth -print | cpio -pamVd /target

D'autres enfin optent pour l'économie de frappes et la simplicité en utilisant le bon vieux cp :

# cd /image
# cp -a * /target

Il se trouve que la copie se fait plus vite avec tar qu'avec cp. Personnellement, j'ai tout mon temps et une mauvaise expérience avec un tar buggé sur une Knoppix ; j'opte donc pour la dernière solution. Au passage, j'ai précisé la solution avec cpio parce que le tar de certains CD d'installation ne sait pas archiver. Une fois l'opération terminée, j'ai un disque qu'il ne reste plus qu'à booter. Enfin presque, vu qu'il n'a pas encore de MBR bootable. Pour le créer, je modifie légèrement le lilo.conf pour aller écrire sur /dev/sdb :

disk=/dev/sdb
    bios=0x80

On va ensuite réécrire le MBR:

# cd /target
# chroot .
# lilo

Il ne reste plus qu'à remonter physiquement le disque dans son logement et rebooter. Si ça ne passe pas, un coup de CD d'installation Debian en mode rescue devrait suffire à remettre les choses en ordre.

Et me voilà avec mon beau système tout beau tout propre. Il ne reste plus qu'à transférer les quelques données apparues depuis et ce sera fini. À ce sujet, pensez que pas mal d'applications, bien que sachant importer des données depuis d'autres applications, ne savent pas par contre importer des données d'un autre stockage de la même application. Par exemple, Evolution ne sait pas importer un autre stockage Evolution. Il faut lancer le client et exporter vos données locales, emails au format Mbox, calendrier au format iCal et contacts au format VCard pour pouvoir ensuite les importer dans votre installation courante. De même Mozilla ne semble pas capable de récupérer ses propres certificats. Il faut les exporter pour les réimporter ensuite... Ce qui veut dire que vous n'avez pas fini de travailler sur votre système temporaire, ne le tuez donc pas tout de suite, des besoins pourraient apparaître en cours de route, on ne pense clairement pas à tout, tout de suite.

Au final, ce que je retiens de l'expérience :

qu'il va falloir faire des backups, pleins, avec quelques données disponibles en ligne ;
que je ne sais pas encore ce que je vais utiliser pour cela, mais ça va venir ;
qu'un système temporaire se monte très rapidement et qu'on n'a pas besoin de grand chose pour survivre une ou deux semaines ;
que la récupération de données, c'est trop long et trop cher, et inversement.

Notes

[1] Genre le client VPN par exemple...

[2] Et c'est parce que j'en ai perdu deux suite à une manipulation malheureuse...

[3] Chiffrées, évidemment !

[4] Continuité de service par tolérance aux pannes, intégrité des données et performance.

[5] Oui, j'aime bien partitionner.

[6] Si quelqu'un peut me détailler les apports de NTFS par rapport à FAT32 dans ce cas là, je suis preneur.

Note : 4.3/5 pour 3 votes

Trackbacks

Aucun trackback.

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=204&chk=j2h9eo

Commentaires

1. Le lundi 23 juillet 2007 à 15:10, par Michael K.

Et une clé usb (ou dans mon cas, montré-clé usb si on a peur de paumer ça), pour des données utiles en déplacement ? Avec de quoi les chiffrer si c'est sensible en cas de perte éventuellement. Bon ok on est pas à l'abri d'une défaillance de la clé, mais faut le vouloir pour en arriver là ...

Réponse de Sid

Et une clé usb

Effectivement, à condition que les données soient chiffrées, certes, mais surtout de manière auto-extractible sur la plate-forme cible. Genre le gars qui chiffre ses données normallement avec GnuPG ou PGP et qui ne va pas pouvoir les ressortir parce qu'il a justement perdu sa clé privée...

Donc dans ce rayon, PGP peut générer des auto-executables sur Win32 et GnuPG peut faire un chiffrement symétrique avec le switch -c (ou --symetric). Le tout protégé par une passphrase. Et il faut aussi penser à embarquer un binaire statique avec pour un déchiffrement immédiat le cas échéant...

2. Le lundi 23 juillet 2007 à 20:04, par Courageux anonyme

Qu'est ce qu'on ferait pas pour récupérer son pr0n ;)

Réponse de Sid

Tu n'as donc point de bande passante à la maison que tu sentes un besoin aussi impérieux d'en stocker ?

3. Le lundi 23 juillet 2007 à 23:12, par switcher

Pour ma part, quand les crashs de disques ont eu raisons de ma patience et faillit me faire perdre un petit bout d'histoire, j'ai finit par mettre en place un rsync/ssh proprement config sur mon serveur a la maison

http://wiki.linuxwall.info/doku.php?id=ressources:articles:rsync_ssh

L'avantage, c'est que c'est pas trop long a synchroniser et que le serveur est dispo en ligne via ssh... bon c'est pas parfait mais pour des donnees perso ca me suffit

4. Le mardi 24 juillet 2007 à 00:46, par jme

Je confirme pour l'importance des sauvegardes. Sauf que moi, mon disque dur est mort pendant que je le sauvegardais. Snifff....

5. Le mardi 24 juillet 2007 à 08:44, par Yann

J'suis de même avis que toi, un bon vieux cp fonctionne très bien. J'ai eu une expérience avec un tar buggé il y a quelques années où les backups étaient corrumpus....

Donc en plus de faire des backups, il faut surtout tester les restore.

En tout cas merci pour ce article très intéressant.

Réponse de Sid

en plus de faire des backups, il faut surtout tester les restore

Effectivement. Le système de sauvergarde doivent régulièrement être vérifié et testé. D'abord sur la pertinence des sauvegardes, dans la mesure où c'est con de s'apercevoir le jour où on en a besoin que ses sauvegardes sont foireuses, que le restore ne fonctionne pas, le temps qu'il met, histoire de ne pas promettre une GTR 1h quand on a 60Go de bande à descendre, etc. Il peut aussi être une bonne idée de se demander comment on gère la perte du système de sauvegarde, genre le backup du backup ;)

Et pour en parlant de systèmes RAID, il faut penser à les tester aussi (mais pas en prod) et à vérifier que les disques sont tous OK (et les changer si nécessaire). J'ai vu une armoire RAID tomber suite à un test de retrait de disque. Le disque de spare était mort et le contrôleur n'a pas aimé quand il a voulu l'ajouter à la grappe... Pas aimé du tout...

Ah ouais, et puis je vous ai ajouté une photo de la pile de disques...

6. Le mardi 24 juillet 2007 à 09:36, par rangzen

Comment queusse que je fais donc : séparation de mes données en 3 groupes :

- dormante : photos de vacances, vidéos persos, recettes de cuisines, etc.

- privée : certificats, mails, CV, etc.

- agile : tous mes projets de prog, etc.

J'ai donc une partition /donnee avec 3 répertoires.

Le répertoire /donnee/dormante est synchronisée avec Jungle Disk sur le webservice S3 d'Amazon

Le répertoire /donnee/agile est synchro avec une clé usb non chiffrée

Le répertoire /donnee/privee est synchro avec une partition chiffrée sur la même clé USB

Tout est en FAT32 pour accéder depuis windows aussi avec sur la clé un répertoire outils qui contient les executables linux et windows de TrueCrypt.

La synchro de agile et privee est faites avec unison.

Voilà :)

7. Le mardi 24 juillet 2007 à 09:46, par Francky

En effet, les disques durs de PC portables sont quand meme relativement fragiles (à moins que les deplacements frequents soient incompatibles avec des disques durs en fonctionnement...).

Un petit truc qui peut etre sympa, et qui m'a déja bien aidé : Smart ! (http://en.wikipedia.org/wiki/Self-Monitoring,_Analysis...)

Tous les hd recents supportent cela, et ca peut vraiment etre tres pratique pour anticiper les problemes. On accede à pleins d'infos : nombre d'heure de fonctionnement, nombre de redémarrage du disque, mais surtout temperature courante et Max atteintes par le disque, ainsi qu'un log des erreurs rencontrées. Et quand ce chiffre comment à grimper, mieux vaut ne pas tenter le diable, et se débarraser proprement du vieux disque.

-Franck

8. Le mardi 24 juillet 2007 à 09:53, par Ulysse

Un coup de mondorecue (http://www.mondorescue.org/) de temps en temps c'est pas du luxe non plus. Tu récupères surtout le système mais c'est quand même pas désagréable. Moi j'ai tendance à oublier toutes les bidouilles faites sur un ordi au fil du temps et forcément au bout d'un moment ça change vraiment d'un système de base.

9. Le mardi 24 juillet 2007 à 22:09, par R

Personnellement, je viens d'acheter un infrant/netgear readynas en raid5 pour mes backups réguliers.

Je n'ai pas encore testé la fonction, mais il est à première vue possible de créer dessus un share spécial "backup". Ensuite ils suffit de brancher un disque dur USB sur la bête et de presser le beau bouton "backup" pour transférer ces données facilement.

Mes données sont transférées sur le NAS par ultrabackup avec un compte utilisateur spécial avec accès en écriture. Comme ca un virus aurait plus de peine à effacer les données. Il doit aussi y avoir moyen sur certains NAS (je ne sais pas pour le readynas) de faire un share ou il est possible d'ajouter des fichiers mais pas d'en modifier ou d'en effacer.

Par contre, je n'ai pas encore trouvé de solution automatique acceptable pour avoir un backup chiffré de mes données. Manuellement, je crée un disque Truecrypt de 4Go que je grave ensuite sur un DVD.

PS: relis et corrige ton article SVP :-p

Réponse de Sid

backup chiffré

Pendant mes recherches, je suis tombé sur Duplicity qui fait du backup incrémental distant chiffré, avec rsync et GnuPG. Ça a l'air simple, je vais le tester. Sinon, je suis aussi tombé sur ce HOWTO pour chiffrer des backups avec Bacula et GnuPG :

10. Le mardi 24 juillet 2007 à 22:13, par newsoft

Intérêt de NTFS sur FAT32 : une partition FAT32 ne supporte pas les fichiers de plus de 2 Go, lorsqu'elle est manipulée sous Windows.

Oui, je sais, une partition FAT32 montée sous Linux n'a pas cette limitation - je ne sais pas pourquoi d'ailleurs ...

Outil de monitoring SMART pour Windows, léger et gratuit (mais pas Open Source :) : HDD Health http://www.panterasoft.com/download.html

11. Le mardi 24 juillet 2007 à 22:20, par nico

Sinon tu as clonezilla (http://clonezilla.sourceforge.net/) c'est pas mal mais ça ne marche pas terrible avec FreeBSD et OpenBSD. C'est un clone de Ghost avec une utilisation "intelligente" des filesystems reconnus (Ext2, Ext3, NTFS - experimental -, LVM2, FAT) : seules les données présentes sont dumpées dans l'image crée. Pour le RAID matériel c'est quand même aléatoire. On a des fois des soucis avec les disques. Deux de nos serveurs embarquant du RAID5 sont restés dégradés à la suite du remplacement d'un disque spare. 6h de manipulations avec le "technicien ?" d'un fabricant leader des la vente de PC par correspondance ont menés une remise a zéro du RAID ... Dommage (Eliane) !

12. Le mercredi 25 juillet 2007 à 09:48, par Kevin

Ah, le RAID. J'ai eu le cas d'un système avec deux disques en miroir. Stable, sur, invulnerable (pensent toujours naivement les gens qui installent ça). Un disque a crashé. Pas de problèmes, on remplace. Et la, pendant la duplication des données, c'est le second qui a craché (par esprit de cohésion avec le premier?). Moralité: c'est encore une fois les sauvegardes qui nous ont sauvé la mise, les données étant très critiques sur cette machine..

Réponse de Sid

@Kevin: il ne faut _jamais_ sous-estimer l'esprit grégaire des composants matériel quand il s'agit de faire parler la loi de Murphy.

13. Le mercredi 25 juillet 2007 à 11:36, par R

J'avais deja regarde Bacula a l'epoque. Je vais rejetter un coup d'oeil.

14. Le lundi 30 juillet 2007 à 14:03, par valorisa

Hello,

Concernant la récupération des données et plus trivialement, peut-on envisager le ghost bit à bit (1:1) (avec Norton Ghost) d'un dd de portable de 20 Go 4200 t/m vers un de 80 Go 5400 t/m via un adaptateur disque dur IDE 2,5" vers 3,5" ? L'un étant branché en maître et l'autre en esclave avec la possibilité de passer par une machine bureautique pour réaliser l'opération. L'essentiel étant que le bios détecte le disque du portable impliqué dans le ghost. Et enfin ghoster dans l'autre sens du 3,5" vers le 80 Go 2,5" lequel est destiné à remplacer le disque de 20 Go 2,5" ?

Quel est l'adaptateur le plus pertinent pour cette opération ?

http://cgi.ebay.fr/ws/eBayISAPI.dll?ViewItem...

ou

http://www.kalea-informatique.com/mag/fr/product-158299.htm

Merci d'avance pour toute utile dilucidation...

Valorisa

Réponse de Sid

Je prendrais l'adaptateur USB, ce qui t'évitera d'ouvrir ton desktop pour réaliser l'opération...

15. Le mardi 31 juillet 2007 à 00:02, par valorisa

@sid

Merci bien pour le conseil. Je verrai donc dans un premier temps si le ghost par l'USB passe bien. Dans le cas contraire, l'autre adaptateur devrait répondre à mon besoin...

16. Le vendredi 14 décembre 2007 à 05:08, par Bertrand

Avé,

Alors, ces backups, après quelques mois... quelles sont les solutions retenues ?

Bertrand

Réponse de Sid

Pour le moment, l'outil qui me satisfait le plus est Duplicity.

17. Le samedi 28 juin 2008 à 00:35, par M. Récupération De Données

Je suis en retard sur ce billet, je suis tombé dessus par hasard et je voulais vous remercier.. Il est très intéressant et démontre en effet l'importance des copies de sauvegardes! Quand tout va bien on se voit pas pourquoi on aurait à faire des copies de sauvegarde, mais quand un pépin se pointe on est bien content de l'avoir fait!

Une petite pensée concernant les solutions RAID: elles peuvent être pratiques dans certains cas mais ne servent à rien si on passe au feu, par exemple. Ma suggestion est donc la sauvegarde en ligne, de manière automatisée. Personellement j'utilise le logiciel "Super Flexible File synchonizer" et je le recommande vivement!

M. Récupération De Données