人妻夜夜爽天天爽三区丁香花-人妻夜夜爽天天爽三-人妻夜夜爽天天爽欧美色院-人妻夜夜爽天天爽免费视频-人妻夜夜爽天天爽-人妻夜夜爽天天

如果你來自Windows環境，那么Linux處理和管理存儲設備的方式對你而言可能顯得格外不同。我們知道，Linux的文件系統并不采用Windows那樣的物理驅動器表示方式（如C:、D:或E:），而是構建了一個以"/"為根的統一文件樹結構。本文將深入探討Linux如何表示和管理硬盤、閃存驅動器等存儲設備。

在進入技術細節之前，我們首先需要理解如何將額外的驅動器和存儲設備掛載到文件系統中，最終集成到根目錄"/"下。在這個語境中，"掛載"意味著將驅動器或磁盤連接到文件系統，使操作系統能夠訪問它們。對安全分析人員而言，深入理解文件系統和存儲設備管理機制至關重要，這不僅涉及自身系統，更常見于目標系統分析。安全研究人員經常需要使用外部媒體加載數據、部署工具，有時甚至需要引導完整的操作系統。在滲透測試過程中，你需要準確定位目標系統上的敏感數據，理解如何掛載新的存儲設備，以及評估數據存儲的安全性。本文將全面覆蓋這些主題，并詳細介紹存儲設備的管理與監控技術。

?

設備目錄 /dev

Linux系統中存在一個專門用于管理設備文件的特殊目錄：/dev（device的縮寫）。系統中的每個設備都在這個目錄下有對應的文件表示。讓我們首先深入了解這個關鍵目錄。

kali > cd /dev
kali > ls -l
total 0
crw------- 1 root root 10,175 May 16 12:44 agpgart
crw------- 1 root root 10,235 May 16 12:44 autofs
drwxr-xr-x 1 root root 160 May 16 12:44 block
lrwxrwxrwx 1 root root 3 May 16 12:44 cdrom -> sr0
drwxr-xr-x 2 root root 60 May 16 12:44 cpu

設備文件按字母順序排列顯示。其中一些設備名稱如cdrom和cpu較為直觀，而其他則相對晦澀。值得注意的是sda1、sda2、sda3、sdb和sdb1等條目，它們分別代表了硬盤及其分區、USB存儲設備及其分區。

brw-rw---- 1 root root 8, 0 May 16 12:44 sda
brw-rw---- 1 root root 8, 1 May 16 12:44 sda1
brw-rw---- 1 root root 8, 2 May 16 12:44 sda2
brw-rw---- 1 root root 8, 5 May 16 12:44 sda5
brw-rw---- 1 root root 8, 16 May 16 12:44 sdb
brw-rw---- 1 root root 8, 17 May 16 12:44 sdb1

Linux如何表示存儲設備

Linux采用邏輯標簽來標識掛載到文件系統的驅動器。這些標簽會根據設備的掛載時間和位置動態變化，這意味著同一個物理設備在不同時刻可能會獲得不同的標識符。

早期Linux系統使用fd0表示軟盤驅動器，使用hda表示硬盤。雖然在某些遺留系統中仍可能遇到這種表示方式，但現代系統已經很少見到軟盤設備。采用IDE或E-IDE接口的傳統硬盤仍使用hda形式的標識，而新型的SATA（串行ATA）接口驅動器和SCSI硬盤則采用sda的命名方式。

存儲設備往往會劃分為多個分區，這些分區在Linux中用數字標識。當系統包含多個存儲設備時，Linux通過字母遞增的方式為它們命名：第一個設備為sda，第二個為sdb，依此類推。這種命名規則中，sd后的字母通常被稱為主編號。

驅動器分區

在存儲管理中，驅動器常被劃分為多個分區以實現更有效的資源管理和數據隔離。例如，你可能需要將交換文件、用戶主目錄和根目錄分別置于不同分區——這種策略有助于資源共享管理和權限控制。Linux使用設備標識符后的數字來標記各個分區。因此，第一個SATA驅動器（sda）的第一個分區表示為sda1，第二個分區為sda2，以此類推。

在安全分析過程中，了解系統的分區布局至關重要。我們可以使用fdisk工具來查看分區信息：

kali > fdisk -l
Disk /dev/sda: 20GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0x7c06cd70

Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 39174143 39172096 18.7G 83 Linux
/dev/sda2 39176190 41940991 2764802 1.3G 5 Extended
/dev/sda5 39176192 41940991 2764800 1.3G 82 Linux swap / Solaris

Disk /dev/sdb: 29.8 GiB, 31999393792 bytes, 62498816 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xc3072e18

Device Boot Start End Sectors Size Id Type
/dev/sdb1 32 62498815 62498784 29.8G 7 HPFS/NTFS/exFAT

在這個輸出中，我們可以看到sda1、sda2和sda5構成了虛擬機的20GB虛擬磁盤，包括一個交換分區（sda5）作為虛擬RAM的擴展，類似于Windows的頁面文件。

第二部分顯示了一個標識為sdb1的設備——字母b表明這是一個獨立的設備。這里是一個64GB的閃存驅動器，使用HPFS/NTFS/ExFAT文件系統。這些文件系統類型通常見于macOS和Windows系統，在取證分析中可能提供有價值的線索，指示設備的來源系統。

字符設備和塊設備

在/dev目錄中，設備文件名的第一個字符（c或b）具有特殊含義。這些標識反映了設備的數據傳輸方式：

• 字符設備（c）：以字符為單位進行數據傳輸，如鍵盤、鼠標等輸入設備
• 塊設備（b）：以數據塊為單位傳輸，如硬盤、DVD驅動器等存儲設備

理解設備類型對于安全分析和性能優化具有重要意義。

使用lsblk列出塊設備及其信息

lsblk命令（list block devices的縮寫）能夠以樹狀結構顯示系統中所有塊設備的基本信息：

kali > lsblk
Name   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
fd0    2:0    1    4K  0 disk
sda    8:0    0   20G  0 disk
├─sda1 8:1    0 18.7G  0 part /
├─sda2 8:2    0    1K  0 part
└─sda5 8:5    0  1.3G  0 part [SWAP]
sdb    8:16   1 29.8G  0 disk
└─sdb1 8:17   1 29.8G  0 part /media/USB3.0
sr0    11:0   1  2.7G  0 rom

掛載和卸載

在大多數現代Linux系統中，存儲設備連接時會自動掛載。但對安全專業人員而言，理解手動掛載過程仍然重要，因為在特殊場景下可能需要使用特定的掛載選項。

存儲設備必須同時滿足物理連接和邏輯掛載才能被操作系統訪問。"掛載"這個術語源自早期計算機時代，當時存儲介質需要物理地"掛"到計算機系統上。

設備在目錄樹中的連接點被稱為掛載點。Linux主要使用兩個標準掛載點：

• /mnt：通常用于內部硬盤
• /media：主要用于外部USB設備（如閃存驅動器和外部硬盤）

手動掛載存儲設備

某些Linux環境下需要手動掛載驅動器。掛載命令的基本語法如下：

kali > mount /dev/sdb1 /mnt

注意：掛載點必須是空目錄，否則掛載操作會暫時遮蔽該目錄下的原有內容。同樣，要掛載閃存驅動器sdc1到/media目錄：

kali > mount /dev/sdc1 /media

系統會在/etc/fstab（文件系統表）文件中維護掛載信息，每次啟動時都會讀取該文件。

使用umount卸載

安全移除存儲設備前需要先執行卸載操作，這與Windows/Mac中的"彈出"設備概念類似。使用umount命令（注意拼寫沒有'n'）執行卸載：

kali > umount /dev/sdb1

重要提示：正在被訪問的設備無法卸載，系統會返回錯誤信息。

監控文件系統

對于安全專業人員和系統管理員來說，監控文件系統狀態是一項核心技能。這包括獲取掛載設備信息、檢查和修復錯誤等。

獲取掛載磁盤的信息

df命令（disk free的縮寫）提供了存儲設備的使用情況統計：

kali > df
Filesystem      1K-Blocks      Used Available Use% Mounted on
rootfs          19620732  17096196   1504788  92% /
udev               10240         0     10240   0% /dev
/dev/sdb1      29823024 29712544    110480  99% /media/USB3.0

輸出顯示了每個文件系統的總容量、已用空間和可用空間。例如，根文件系統使用了92%的空間，而USB驅動器幾乎已滿（99%）。

檢查錯誤

fsck命令（file system check的縮寫）用于檢查和修復文件系統錯誤：

kali > fsck
fsck from util-linux 2.20.1
e2fsck 1.42.5 (29-Jul-2012)
/dev/sda1 is mounted
e2fsck: Cannot continue, aborting.

卸載設備進行文件系統檢查

執行fsck前必須先卸載設備：

kali > umount /dev/sdb1
kali > fsck -p /dev/sdb1
fsck from util-linux 2.30.2
exfatfsck 1.2.7
Checking file system on /dev/sdb1.
File system version 1.0
Sector size 512 bytes
Cluster size 32 KB
Volume size 7648 MB
Used space 1265 MB
Available space 6383 MB
Totally 20 directories and 111 files.
File system checking finished. No errors found.

總結

深入理解Linux存儲設備管理對安全專業人員至關重要。設備命名規則、掛載機制、文件系統檢查等知識不僅有助于日常系統維護，更是進行安全評估和事件響應的基礎。特別是在涉及數據恢復、取證分析等場景時，這些技能尤為重要。

閱讀原文：原文鏈接