在Centos/Linux上恢复ext4文件系统下误删除的文件
- 二、恢复ext4文件系统下误删除的文件
- 2.1、情景介绍
- 2.2、在ext4文件系统上恢复被误删除的文件
- 2.3、准备测试环境
- 2.4、安装 extundelet
- 2.5、恢复数据
- 方法 1:通过 inode 结点恢复
- 方法二:通过文件名恢复
- 方法三:恢复某个目录,如目录 a 下的所有文件:
- 方法四:恢复所有的文件
- extundelete 在恢复文件的时候能不能自动创建空文件和目录?
二、恢复ext4文件系统下误删除的文件
2.1、情景介绍
[root@Hengji ~]# rm -rf / #这个可以执行成功吗?
执行不会成功, rm: 在"/" 进行递归操作十分危险
rm: 使用 --no-preserve-root 选项跳过安全模式
[root@Hengji ~]# rm -rf /* #这个可以执行成功。
ext4文件系统上删除文件,可以恢复: extundelete
ext3恢复使用:ext3grep
windows恢复误删除的文件:final data 和 easyrecovery
xfs文件系统上删除文件,暂时没有太好的办法进行完全恢复,需要找专业数据恢复公司
扩展:
Linux文件系统由三部分组成:文件名,inode,block
windows也由这三部分组成.
a.txt -->inode --> block
文件名–>存放文件元数据信息–>真正存放数据
查看文件文件名:
[root@Hengji ~]# cp /etc/passwd a.txt
[root@Hengji ~]# ls a.txt
a.txt
查看inode号:
常识: 每个文件,有一个inode号。
[root@Hengji ~]# ls -i a.txt
67854548 a.txt
查看inode中的文件属性; 通过 stat 命令查看 inode中包含的内容
[root@Hengji ~]# stat a.txt
文件:a.txt
大小:2747 块:8 IO 块:4096 普通文件
设备:802h/2050d Inode:67854548 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2020-09-04 14:18:27.229088876 +0800
最近更改:2020-09-04 14:18:27.229088876 +0800
最近改动:2020-09-04 14:18:27.229088876 +0800
创建时间:-
[root@Hengji ~]# ls -l a.txt
-rw-r--r--. 1 root root 2747 9月 4 14:18 a.txt
block 块:真正存储数据的地方
逻辑删除:
为什么删除比复制快?
误删除文件后,第一件事要做什么??
你不小心删除把存了几十年的大片删除了。
避免误删除的文件内容被覆盖。 如何避免?
卸载需要恢复文件的分区或以只读的方式挂载
2.2、在ext4文件系统上恢复被误删除的文件
下载 extundelete
http://sourceforge.net/ 开源软件发布中心
准备测试分区:
[root@Hengji /]# fdisk /dev/sda #创建一个 sda4 分区
WARNING: DOS-compatible mode is deprecated. It's strongly recommended to
switch off the mode (command 'c') and change display units to
sectors (command 'u').
Command (m for help): p #查看现有分区表
Disk /dev/sda: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000b8b35
Device Boot Start End Blocks Id System
/dev/sda1 * 1 26 204800 83 Linux
Partition 1 does not end on cylinder boundary.
/dev/sda2 26 1301 10240000 83 Linux
/dev/sda3 1301 1428 1024000 82 Linux swap / Solaris
Command (m for help): n #创建一个新分区
Command action
e extended
p primary partition (1-4)
p #创建一个主分区
Selected partition 4
First cylinder (1428-2610, default 1428):
Using default value 1428
Last cylinder, +cylinders or +size{K,M,G} (1428-2610, default 2610): +1G #指定分区大小
Command (m for help): w #保存
The partition table has been altered!
Calling ioctl() to re-read partition table.
WARNING: Re-reading the partition table failed with error 16: Device or resource busy.
The kernel still uses the old table. The new table will be used at
the next reboot or after you run partprobe(8) or kpartx(8)
Syncing disks.
[root@Hengji ~]#reboot
或
[root@Hengji ~]# partx -a /dev/sda #获得新分区表
扩展:
如果在根下删除文件了,想恢复,怎么办?
方法 1: 立即断电,然后把磁盘以只读方式,挂载到另一个电脑中进行恢复
方法 2:把 extundelete 在虚拟机上(虚拟机系统要和服务器版本一样),提前安装好后再复制到U盘中,把U盘插入服务器,恢复时,恢复的文件要保存到U盘中,(不要让恢复的数据写到/下,那样会覆盖之前删除的文件)
使用新的分区表:
[root@Hengji /]# mkdir /tmp/sda4 #创建挂载点
[root@Hengji ~]# mkfs.ext4 /dev/sda4 #格式化
[root@Hengji ~]# mount /dev/sda4 /tmp/sda4/ #挂载
2.3、准备测试环境
复制一些测试文件,然后把这些文件再删除,然后演示恢复:
[root@Hengji ~]# cp /etc/passwd /tmp/sda4/
[root@Hengji ~]# cp /etc/hosts /tmp/sda4/
[root@Hengji ~]# echo aaa > a.txt
[root@Hengji ~]# mkdir -p /tmp/sda4/a/b/c
[root@Hengji ~]# cp a.txt /tmp/sda4/a/
[root@Hengji ~]# cp a.txt /tmp/sda4/a/b/
[root@Hengji ~]# touch /tmp/sda4/a/b/kong.txt
安装 tree 命令:
[root@Hengji ~]# rpm -ivh /mnt/Packages/tree-1.5.3-2.el6.x86_64.rpm
[root@Hengji ~]# tree /tmp/sda4/
/tmp/sda4/
├── a
│ ├── a.txt
│ └── b
│ ├── a.txt
│ ├── c #空目彔
│ └── kong.txt #空文件
├── hosts
├── lost+found
└── passwd
删除文件:
[root@Hengji ~]# cd /tmp/sda4/
[root@Hengji sda4]# ls
a hosts lost+found passwd
[root@Hengji sda4]# rm -rf a hosts passwd
误删除文件后,第一件事要做什么???
如何避免误删除的文件内容被覆盖???
卸载需要恢复文件的分区:或以只读的方式挂载
[root@Hengji ~]#cd /root
[root@Hengji ~]# umount /tmp/sda4
2.4、安装 extundelet
上传 extundelete 到 linux 中:
从 windows 上传 extundelete 文件到 linux,安装 xmanager 或者CRT
[root@Hengji ~]# rpm -ivh /mnt/Packages/lrzsz-0.12.20-27.1.el6.x86_64.rpm
安装后,就有了rz命令和sz命令
rz : 上传 windows 中的文件到 linux
sz :下载 linux 中的文件传到 windows
解压并安装 extundelet
[root@Hengji extundelete-0.2.4]# tar jxvf extundelete-0.2.4.tar.bz2
[root@Hengji ~]# cd extundelete-0.2.4
[root@Hengji ~]# yum install e2fsprogs-devel
[root@Hengji extundelete-0.2.4]# ./configure #检查系统安装环境
[root@Hengji extundelete-0.2.4]# make -j 4 #编译,把源代码编译成可执行的二进制文件。
-j 4 使用 4 进程同时编译,提升编译速度或使用 4 核 CPU 同时编译。
[root@xuegod63 extundelete-0.2.4]# make install #安装
install 和 cp 有什么区别?
install 复制时可以指定权限 cp 不可以
例:
[root@Hengji ~]# install -m 777 /bin/find /opt/a.sh
[root@Hengji ~]# ll /opt/
2.5、恢复数据
方法 一:通过 inode 结点恢复
方法二:通过文件名恢复
方法三:恢复某个目录,如目录 a 下的所有文件:
方法四:恢复所有的文件
[root@Hengji ~]# umount /tmp/sda4/
[root@Hengji ~]# mkdir test #创建一个目录使用于存放恢复的数据
[root@Hengji ~]# cd test/
通过 inode 结点查看被删除的文件名字:
[root@Hengji test]# extundelete /dev/sda4 --inode 2
. 2
lost+found 11
passwd 12 Deleted
hosts 13 Deleted
a 7313 Deleted
扩展:ext4 文件系统的分区根目录的 inode 值为 2,xfs 分区根目录的 inode 值为 64
[root@Hengji test]# ls -id /boot/ #xfs 文件系统
64 /boot/
[root@Hengji test]# mount /dev/sda4 /tmp/sda4/
[root@Hengji test]# ls -id /tmp/sda4/
2 /tmp/sda4/
[root@Hengji test]# umount /tmp/sda4/
方法 1:通过 inode 结点恢复
[root@Hengji test]# extundelete /dev/sda4 --restore-inode 12
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 9 groups loaded.
Loading journal descriptors ... 63 descriptors loaded.
[root@Hengji test]# ls
RECOVERED_FILES
[root@Hengji test]# diff /etc/passwd RECOVERED_FILES/file.12
#没有任何输出,说明一样
方法二:通过文件名恢复
[root@Hengji test]# extundelete /dev/sda4 --restore-file passwd
[root@Hengji test]# diff /etc/passwd RECOVERED_FILES/passwd
#没有任何输出,说明一样
方法三:恢复某个目录,如目录 a 下的所有文件:
[root@Hengji test]# extundelete /dev/sda4 --restore-directory a
[root@Hengji test]# tree RECOVERED_FILES/a/
RECOVERED_FILES/a/
├── a.txt
└── b
└── a.txt
下面是原来的目录结构:
[root@Hengji ~]# tree /root/sda4-back/a/
/root/sda4-back/a/
├── a.txt
└── b
├── a.txt
├── c
└── kong.txt
方法四:恢复所有的文件
[root@Hengji test]# extundelete /dev/sda4 --restore-all
删除前后的数据:
extundelete 在恢复文件的时候能不能自动创建空文件和目录?
答:不能。