076-extundelete恢復數據

做爲一名運維人員,保證數據的安全是根本職責,因此在維護系統的時候,要慎之又慎,可是有時不免會出現數據被誤刪除的狀況,在這個時候改如何快速、有效地恢復數據呢?本文咱們就來介紹一下Linux系統下經常使用的幾個數據恢復工具。node

 

1、如何使用「rm -rf」命令安全

 

在Linux系統下,經過命令「rm -rf」能夠將任何數據直接從硬盤刪除,而且沒有任何提示,同時Linux下也沒有與Windows下回收站相似的功能,也就意味着,數據在刪除後經過常規的手段是沒法恢復的,所以使用這個命令要很是慎重。在使用rm命令的時候,比較穩妥的方法是把命令參數放到後面,這樣有一個提醒的做用。其實還有一個方法,那就是將要刪除的東西經過mv命令移動到系統下的/tmp目錄下,而後寫個腳本按期執行清除操做,這樣作能夠在必定程度上下降誤刪除數據的危險性。app

其實保證數據安全最好的方法是作好備份,雖然備份不是萬能的,可是沒有備份是萬萬不行的。任何數據恢復工具都有必定侷限性,都不能保證完整地恢復出全部數據,所以,把備份做爲核心,把數據恢復工具做爲輔助是運維人員必須堅持的一個準則。運維

 

2、extundelete與ext3grep的異同工具

在Linux下,基於開源的數據恢復工具備不少,常見的有debugfs、R-Linux、ext3grep、extundelete等,比較經常使用的有ext3grep和extundelete,這兩個工具的恢復原理基本同樣,只是extundelete功能更增強大,本文重點介紹extundelete的使用。網站

 

3、extundelete的恢復原理操作系統

在介紹使用extundelete進行恢復數據以前,簡單介紹下關於inode的知識。在Linux下能夠經過「ls –id」命令來查看某個文件或者目錄的inode值,例如查看根目錄的inode值,能夠輸入:.net

[root@cloud1 ~]# ls -id  / 

2 /

由此可知,根目錄的inode值爲2。debug

在利用extundelete恢復文件時並不依賴特定文件格式,首先extundelete會經過文件系統的inode信息(根目錄的inode通常爲2)來得到當前文件系統下全部文件的信息,包括存在的和已經刪除的文件,這些信息包括文件名和inode。而後利用inode信息結合日誌去查詢該inode所在的block位置,包括直接塊,間接塊等信息。最後利用dd命令將這些信息備份出來,從而恢復數據文件。指針

 

4、 安裝extundelete

extundelete的官方網站是http://extundelete.sourceforge.net/ ,其目前的穩定版本是extundelete-0.2.4。,在安裝extundelete以前須要安裝e2fsprogs和e2fsprogs-libs兩個依賴包。

e2fsprogs和e2fsprogs-libs安裝很是簡單,這裏不作介紹。下面是extundelete的編譯安裝過程:

[root@cloud1 app]#tar jxvf  extundelete-0.2.4.tar.bz2

[root@cloud1 app]#cd extundelete-0.2.4

[root@cloud1 extundelete-0.2.4]#./configure

[root@cloud1 extundelete-0.2.4]#make

[root@cloud1 extundelete-0.2.4]#make install

成功安裝extundelete後,會在系統中生成一個extundelete可執行文件。extundelete的使用很是簡單,讀者能夠經過「extundelete  --help」得到此軟件的使用方法。 

 

5、extundelete用法詳解

extundelete安裝完成後,就能夠執行數據恢復操做了,本節詳細介紹下extundelete每一個參數的含義。extundelete用法以下:

extundelete --help命令格式: 

extundelete [options] [action] device-file

  其中參數(options)有:

--version, -[vV],顯示軟件版本號。

--help,顯示軟件幫助信息。

--superblock,顯示超級塊信息。

--journal,顯示日誌信息。

--after dtime,時間參數,表示在某段時間以後被刪的文件或目錄。

--before dtime,時間參數,表示在某段時間以前被刪的文件或目錄。

 

動做(action)有:

--inode ino,顯示節點「ino」的信息。

--block blk,顯示數據塊「blk」的信息。

--restore-inode ino[,ino,...],恢復命令參數,表示恢復節點「ino」的文件,恢復的文件會自動放在當前目錄下的RESTORED_FILES文件夾中,使用節點編號做爲擴展名。

--restore-file 'path',恢復命令參數,表示將恢復指定路徑的文件,並把恢復的文件放在當前目錄下的RECOVERED_FILES目錄中。

--restore-files 'path',恢復命令參數,表示將恢復在路徑中已列出的全部文件。

--restore-all,恢復命令參數,表示將嘗試恢復全部目錄和文件。

-j journal,表示從已經命名的文件中讀取擴展日誌。

-b blocknumber,表示使用以前備份的超級塊來打開文件系統,通常用於查看現有超級塊是否是當前所要的文件。

-B blocksize,表示使用數據塊大小來打開文件系統,通常用於查看已經知道大小的文件。

 

6、實戰:extundelete恢復數據的過程

在數據被誤刪除後,第一時間要作的是卸載被刪除數據所在的磁盤或磁盤分區,若是是系統根分區的數據遭到誤刪除,就須要將系統進入單用戶,而且將根分區以只讀模式掛載。這樣作的緣由很簡單,由於將文件刪除後,僅僅是將文件的inode結點中的扇區指針清零,實際文件還存儲在磁盤上,若是磁盤以讀寫模式掛載,這些已刪除的文件的數據塊就可能被操做系統從新分配出去,在這些數據塊被新的數據覆蓋後,這些數據就真的丟失了,恢復工具也回力無天。因此,以只讀模式掛載磁盤能夠儘可能下降數據塊中數據被覆蓋的風險,以提升恢復數據成功的比率。

 

6.1經過extundelete恢復單個文件

1.模擬數據誤刪除環境

在演示經過extundelete恢復數據以前,咱們首先要模擬一個數據誤刪除環境,這裏咱們以ext3文件系統爲例,在ext4文件系統下的恢復方式與此徹底同樣。簡單的模擬操做過程以下:

[root@cloud1 ~]#mkdir /data

[root@cloud1 ~]#mkfs.ext3 /dev/sdc1

[root@cloud1 ~]#mount /dev/sdc1  /data

[root@cloud1 ~]# cp /etc/passwd  /data

[root@cloud1 ~]# cp -r /app/ganglia-3.4.0  /data

[root@cloud1 ~]# mkdir /data/test

[root@cloud1 ~]# echo "extundelete test" > /data/test/mytest.txt

[root@cloud1 ~]#cd /data

[root@cloud1 data]# md5sum  passwd 

0715baf8f17a6c51be63b1c5c0fbe8c5  passwd

[root@cloud1 data]# md5sum  test/mytest.txt 

eb42e4b3f953ce00e78e11bf50652a80  test/mytest.txt

[root@cloud1 data]# rm -rf /data/*

在將數據誤刪除後,馬上須要作的就是卸載這塊磁盤分區:2.卸載磁盤分區

[root@cloud1 data]#cd /mnt

[root@cloud1 mnt]# umount /data

 

3.查詢可恢復的數據信息

經過extundelete命令能夠查詢/dev/sdc1分區可恢復的數據信息:

[root@cloud1 /]# extundelete  /dev/sdc1  --inode 2

......

File name                                       | Inode number | Deleted status

.                                                2

..                                                2

lost+found                                        11             Deleted

passwd                                           49153          Deleted

test                                              425985         Deleted

ganglia-3.4.0                                       245761         Deleted

4.恢復單個文件根據上面的輸出,標記爲Deleted狀態的是已經刪除的文件或目錄。同時還能夠看到每一個已刪除文件的inode值,接下來就能夠恢復文件了。

執行以下命令開始恢復文件:

[root@cloud1 /]# extundelete  /dev/sdc1  --restore-file passwd 

Loading filesystem metadata ... 40 groups loaded.

Loading journal descriptors ... 54 descriptors loaded.

Successfully restored file passwd

[root@cloud1 /]# cd RECOVERED_FILES/

[root@cloud1 RECOVERED_FILES]# ls

passwd

[root@cloud1 RECOVERED_FILES]# md5sum  passwd 

0715baf8f17a6c51be63b1c5c0fbe8c5  passwd

在文件恢復成功後,extundelete命令默認會在執行命令的當前目錄下建立一個RECOVERED_FILES目錄,此目錄用於存放恢復出來的文件,因此執行extundelete命令的當前目錄必須是可寫的。extundelete恢復單個文件的參數是「--restore-file」,這裏須要注意的是,「--restore-file」後面指定的是恢復文件路徑,這個路徑是文件的相對路徑。相對路徑是相對於原來文件的存儲路徑而言的,好比,原來文件的存儲路徑是/data/passwd,那麼在參數後面直接指定passwd文件便可,若是原來文件的存儲路徑是/data/test/mytest.txt,那麼在參數後面經過「test/mytest.txt」指定便可。

根據上面的輸出,經過md5sum命令校驗,校驗碼與以前的徹底一致,代表文件恢復成功。

 

6.2經過extundelete恢復單個目錄

extundelete除了支持恢復單個文件,也支持恢復單個目錄,在須要恢復目錄時,經過 「--restore-directory」選項便可恢復指定目錄的全部數據。

繼續在上面模擬的誤刪除數據環境下操做,如今要恢復/data目錄下的ganglia-3.4.0文件夾,操做以下:

[root@cloud1 mnt]# extundelete  /dev/sdc1  --restore-directory /ganglia-3.4.0

Loading filesystem metadata ... 40 groups loaded.

Loading journal descriptors ... 247 descriptors loaded.

Searching for recoverable inodes in directory /ganglia-3.4.0 ... 

781 recoverable inodes found.

Looking through the directory structure for deleted files ... 

4 recoverable inodes still lost.

[root@cloud1 mnt]# ls

RECOVERED_FILES

[root@cloud1 mnt]# cd RECOVERED_FILES/

[root@cloud1 RECOVERED_FILES]# ls

ganglia-3.4.0

能夠看到以前刪除的目錄ganglia-3.4.0已經成功恢復了,進入這個目錄檢查發現:全部文件內容和大小都正常。

 

6.3 經過extundelete恢復全部誤刪除數據

當須要恢復的數據較多時,一個個地指定文件或目錄將是一個很是繁重和耗時的工做,不過,extundelete考慮到了這點,此時能夠經過「--restore-all」選項來恢復全部被刪除的文件或文件夾。

仍然在上面模擬的誤刪除數據環境下操做,如今要恢復/data目錄下全部數據,操做過程以下:

[root@cloud1 mnt]# extundelete  /dev/sdc1 --restore-all

Loading filesystem metadata ... 40 groups loaded.

Loading journal descriptors ... 247 descriptors loaded.

Searching for recoverable inodes in directory / ... 

781 recoverable inodes found.

Looking through the directory structure for deleted files ... 

0 recoverable inodes still lost.

[root@cloud1 mnt]# ls

RECOVERED_FILES

[root@cloud1 mnt]# cd RECOVERED_FILES/

[root@cloud1 RECOVERED_FILES]# ls

ganglia-3.4.0  passwd  test

[root@cloud1 RECOVERED_FILES]# du -sh  /mnt/RECOVERED_FILES/*

15M     /mnt/RECOVERED_FILES/ganglia-3.4.0

4.0K    /mnt/RECOVERED_FILES/passwd

8.0K    /mnt/RECOVERED_FILES/test

能夠看到全部數據所有完整地恢復了。

 

6.4經過extundelete恢復某個時間段的數據

有時候刪除了大量的數據量,其中不少數據都是沒用的,咱們僅須要恢復其中的一部分數據,此時,若是採用恢復所有數據的辦法,不但耗時,並且浪費資源,在這種狀況下,就須要採用另外的一種恢復機制有選擇地恢復,extundelete提供了「—after」「和」--before「參數,能夠經過指定某個時間段,進而只恢復這個時間段內的數據。

下面經過一個簡單示例,描述下如何恢復某個時間段內的數據。

咱們首先假定在/data目錄下有個剛剛建立的壓縮文件ganglia-3.4.0.tar.gz,而後刪除此文件,接着卸載/data分區,開始恢復一小時內的文件,操做以下:

[root@cloud1 ~]#cd /data/

[root@cloud1 data]# cp /app/ganglia-3.4.0.tar.gz  /data

[root@cloud1 data]# date +%s

1379150309

[root@cloud1 data]# rm -rf ganglia-3.4.0.tar.gz

[root@cloud1 data]# cd /mnt

[root@cloud1 mnt]# umount /data

[root@cloud1 mnt]# date +%s

1379150340

[root@cloud1 mnt]# extundelete  --after 1379146740 --restore-all /dev/sdc1

Only show and process deleted entries if they are deleted on or after 1379146740 and before 9223372036854775807.

Loading filesystem metadata ... 40 groups loaded.

Loading journal descriptors ... 247 descriptors loaded.

Searching for recoverable inodes in directory / ... 

779 recoverable inodes found.

[root@cloud1 mnt]#  cd RECOVERED_FILES/

[root@cloud1 RECOVERED_FILES]# ls

ganglia-3.4.0.tar.gz

在這個操做過程當中,須要注意是「--after」參數後面跟的時間是個總秒數。起算時間爲「1970-01-01 00:00:00 UTC」,經過「date +%s」命令便可將當前時間轉換爲總秒數,由於恢復的是一個小時以內的數據,因此「1379146740」這個值就是經過「1379150340」減去「60*60=3600」得到的。能夠看到,剛纔刪除的文件,已經成功恢復,而在/data目錄下還有不少被刪除的文件卻沒有恢復,這就是」--after「參數控制的結果,由於/data目錄下其餘文件都是在一天以前刪除的,而咱們恢復的是一個小時以內被刪除的文件,這就是沒有恢復其餘被刪除文件的緣由。

相關文章
相關標籤/搜索