首頁 > 軟體

Linux檔案誤刪除恢復操作案例

2020-06-16 16:57:02

一、背景

突發事件,應用上傳的資料被程式自動刪掉了,可悲的是還沒有資料備份,資料是放在Linux系統的 /data/webapps/xxxx/upload 目錄下面,可把我們急壞了,之前又沒有做過資料恢復的測試,然後我找到了一款資料恢復的軟體,成功把刪除的大部分資料找回來了,我的資料恢復過程如下。

二、安裝恢復軟體

1、epel 倉庫安裝

如果我們的源裡面新增了 epel 倉庫的話,我們可以直接使用下面的命令安裝。

yum install extundelete -y

2、原始碼編譯安裝

wget  http://zy-res.oss-cn-hangzhou.aliyuncs.com/server/extundelete-0.2.4.tar.bz2
yum -y install  bzip2  e2fsprogs-devel  e2fsprogs  gcc-c++ make
tar -xvjf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4 
./configure
make && make install

三、刪除資料查詢

因為我的資料路徑比較深,所以我們需要一步步查詢,可以先從根分割區 inode 查詢

extundelete /dev/sdb1 --inode 2

我們會看到 weapps 目錄的inode,

extundelete /dev/sda5 --inode 24641537

我們看到專案的 inode,

extundelete /dev/sda5 --inode 24903688

我們找到了最終刪除資料的目錄 upload

extundelete /dev/sda5 --inode 24904454

我們可以看到標稱的 Deleted,這些資料就是我們要進行恢復的資料。

四、資料恢復

那我們就恢復指定目錄,以當前分割區為根分割區進行路徑設定,專案名進行掩蓋

extundelete /dev/sda5 --restore-directory /webapps/xxxx/upload

因為磁碟資料一直在讀寫,所以有些檔案之前的 inode 已經被重新分配了,導致部分資料無法恢復,資料最後會告訴我們有多少檔案沒有回復,但是大部分資料我們已經恢復了,這就是很重要的事情了。

那我們檢視一下回復的資料吧,軟體會在當前目錄生成一個目錄 RECOVERED_FILES 裡面就是我們恢復的資料。

恢復全部資料可以使用命令

extundelete /dev/sda5 --restore-all

使用方法

extundelete --help

其中,引數(options)有:
--version, -[vV],顯示軟體版本號。
--help,顯示軟體幫助資訊。
--superblock,顯示超級塊資訊。
--journal,顯示紀錄檔資訊。
--after dtime,時間引數,表示在某段時間之後被刪的檔案或目錄。
--before dtime,時間引數,表示在某段時間之前被刪的檔案或目錄。

動作(action)有:
--inode ino,顯示節點“ino”的資訊。
--block blk,顯示資料塊“blk”的資訊。
--restore-inode ino[,ino,...],恢復命令引數,表示恢復節點“ino”的檔案,恢復的檔案會自動放在當前目錄下的RESTORED_FILES資料夾中,使用節點編號作為擴充套件名。
--restore-file 'path',恢復命令引數,表示將恢復指定路徑的檔案,並把恢復的檔案放在當前目錄下的RECOVERED_FILES目錄中。
--restore-files 'path',恢復命令引數,表示將恢復在路徑中已列出的所有檔案。
--restore-all,恢復命令引數,表示將嘗試恢復所有目錄和檔案。
-j journal,表示從已經命名的檔案中讀取擴充套件紀錄檔。
-b blocknumber,表示使用之前備份的超級塊來開啟檔案系統,一般用於檢視現有超級塊是不是當前所要的檔案。
-B blocksize,通過指定資料塊大小來開啟檔案系統,一般用於檢視已經知道大小的檔案。

在資料刪除之後,首先要解除安裝被刪除資料所在的磁碟或是分割區,如果是系統根分割區遭到誤刪除,就需要進入單使用者模式下,將根分割區以唯讀的方式掛載。

原因:因為檔案刪除之後,僅僅是將檔案的inode節點中的磁區指標清零,實際上檔案還存在磁碟上面,如果磁碟以讀寫方式掛載,這些刪除的資料塊可能會被系統從新分配出去,這些資料塊被覆蓋之後,這些資料就真的丟失了,所以以唯讀的方式掛載,盡可能避免資料被覆蓋。

本文永久更新連結地址http://www.linuxidc.com/Linux/2018-01/150037.htm


相關文章
IT145.com E-mail:sddin#qq.com