使用lsof恢復誤刪紀錄檔檔案或資料庫

查詢誰在使用檔案系統

在解除安裝檔案系統時，如果該檔案系統中有任何開啟的檔案，操作通常將會失敗。那麼通過lsof可以找出那些進程在使用當前要解除安裝的檔案系統，如下： # lsof /GTES11/

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

bash 4208 root cwd DIR 3,1 4096 2 /GTES11/

vim 4230 root cwd DIR 3,1 4096 2 /GTES11/

在這個範例中，使用者root正在其/GTES11目錄中進行一些操作。一個 bash是範例正在執行，並且它當前的目錄為/GTES11，另一個則顯示的是vim正在編輯/GTES11下的檔案。要成功地解除安裝/GTES11，應該在通知使用者以確保情況正常之後，中止這些進程。 這個範例說明了應用程式的當前工作目錄非常重要，因為它仍保持著檔案資源，並且可以防止檔案系統被解除安裝。這就是為什麼大部分守護行程（後台進程）將它們的目錄更改為根目錄、或服務特定的目錄（如 sendmail 範例中的 /var/spool/mqueue）的原因，以避免該守護行程阻止解除安裝不相關的檔案系統。

恢復刪除的檔案

當Linux計算機受到入侵時，常見的情況是紀錄檔檔案被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的檔案，比如在清理舊紀錄檔時，意外地刪除了資料庫的活動事務紀錄檔。有時可以通過lsof來恢復這些檔案。

當進程開啟了某個檔案時，只要該進程保持開啟該檔案，即使將其刪除，它依然存在於磁碟中。這意味著，進程並不知道檔案已經被刪除，它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該進程之外，這個檔案是不可見的，因為已經刪除了其相應的目錄索引節點。

在/proc 目錄下，其中包含了反映核心和進程樹的各種檔案。/proc目錄掛載的是在記憶體中所對映的一塊區域，所以這些檔案和目錄並不存在於磁碟中，因此當我們對這些檔案進行讀取和寫入時，實際上是在從記憶體中獲取相關資訊。大多數與 lsof 相關的資訊都儲存於以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的資訊。每個進程目錄中存在著各種檔案，它們可以使得應用程式簡單地了解進程的記憶體空間、檔案描述符列表、指向磁碟上的檔案的符號連結和其他系統資訊。lsof 程式使用該資訊和其他關於核心內部狀態的資訊來產生其輸出。所以lsof 可以顯示進程的檔案描述符和相關的檔名等資訊。也就是我們通過存取進程的檔案描述符可以找到該檔案的相關資訊。

當系統中的某個檔案被意外地刪除了，只要這個時候系統中還有進程正在存取該檔案，那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。 假如由於誤操作將/var/log/messages檔案刪除掉了，那麼這時要將/var/log/messages檔案恢復的方法如下：

首先使用lsof來檢視當前是否有進程開啟/var/logmessages檔案，如下： # lsof |grep /var/log/messages

syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)

從上面的資訊可以看到 PID 1283（syslogd）開啟檔案的檔案描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數位命名的檔案表示進程對應的檔案描述符）中檢視相應的資訊，如下：

# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (rooteverestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)

從上面的資訊可以看出，檢視 /proc/1283/fd/2 就可以得到所要恢復的資料。如果可以通過檔案描述符檢視相應的資料，那麼就可以使用 I/O 重定向將其複製到檔案中，如: cat /proc/1283/fd/2 > /var/log/messages

對於許多應用程式，尤其是紀錄檔檔案和資料庫，這種恢復刪除檔案的方法非常有用。

本文永久更新連結地址：http://www.linuxidc.com/Linux/2015-04/116259.htm