数据恢复软件extundelete介绍
作為一名運維人員,保證數據的安全是根本職責,所以在維護系統的時候,要慎之又慎,但是有時難免會出現數據被誤刪除的情況,在這個時候改如何快速、有效地恢復數據呢?本文我們就來介紹一下Linux系統下常用的幾個數據恢復工具。
一、如何使用“rm -rf”命令
在Linux系統下,通過命令“rm -rf”可以將任何數據直接從硬盤刪除,并且沒有任何提示,同時Linux下也沒有與Windows下回收站類似的功能,也就意味著,數據在刪除后通過常規的手段是無法恢復的,因此使用這個命令要非常慎重。在使用rm命令的時候,比較穩妥的方法是把命令參數放到后面,這樣有一個提醒的作用。其實還有一個方法,那就是將要刪除的東西通過mv命令移動到系統下的/tmp目錄下,然后寫個腳本定期執行清除操作,這樣做可以在一定程度上降低誤刪除數據的危險性。
其實保證數據安全最好的方法是做好備份,雖然備份不是萬能的,但是沒有備份是萬萬不行的。任何數據恢復工具都有一定局限性,都不能保證完整地恢復出所有數據,因此,把備份作為核心,把數據恢復工具作為輔助是運維人員必須堅持的一個準則。
二、extundelete與ext3grep的異同
在Linux下,基于開源的數據恢復工具有很多,常見的有debugfs、R-Linux、ext3grep、extundelete等,比較常用的有ext3grep和extundelete,這兩個工具的恢復原理基本一樣,只是extundelete功能更加強大,本文重點介紹extundelete的使用。
三、extundelete的恢復原理
在介紹使用extundelete進行恢復數據之前,簡單介紹下關于inode的知識。在Linux下可以通過“ls –id”命令來查看某個文件或者目錄的inode值,例如查看根目錄的inode值,可以輸入:
[root@cloud1 ~]# ls -id??/?
2 /
由此可知,根目錄的inode值為2。
在利用extundelete恢復文件時并不依賴特定文件格式,首先extundelete會通過文件系統的inode信息(根目錄的inode一般為2)來獲得當前文件系統下所有文件的信息,包括存在的和已經刪除的文件,這些信息包括文件名和inode。然后利用inode信息結合日志去查詢該inode所在的block位置,包括直接塊,間接塊等信息。最后利用dd命令將這些信息備份出來,從而恢復數據文件。
四、 安裝extundelete,可直接使用epel源進行安裝:yum install extundelete -y
extundelete的官方網站是http://extundelete.sourceforge.net/?,其目前的穩定版本是extundelete-0.2.4。,在安裝extundelete之前需要安裝e2fsprogs和e2fsprogs-libs兩個依賴包。
e2fsprogs和e2fsprogs-libs安裝非常簡單,這里不做介紹。下面是extundelete的編譯安裝過程:
[root@cloud1 app]#tar jxvf??extundelete-0.2.4.tar.bz2
[root@cloud1 app]#cd extundelete-0.2.4
[root@cloud1 extundelete-0.2.4]#./configure
[root@cloud1 extundelete-0.2.4]#make
[root@cloud1 extundelete-0.2.4]#make install
成功安裝extundelete后,會在系統中生成一個extundelete可執行文件。extundelete的使用非常簡單,讀者可以通過“extundelete??--help”獲得此軟件的使用方法。?
五、extundelete用法詳解
extundelete安裝完成后,就可以執行數據恢復操作了,本節詳細介紹下extundelete每個參數的含義。extundelete用法如下:
extundelete --help
命令格式:?
1
extundelete [options] [action] device-file
其中參數(options)有:
--version, -[vV],顯示軟件版本號。
--help,顯示軟件幫助信息。
--superblock,顯示超級塊信息。
--journal,顯示日志信息。
--after dtime,時間參數,表示在某段時間之后被刪的文件或目錄。
--before dtime,時間參數,表示在某段時間之前被刪的文件或目錄。
動作(action)有:
--inode ino,顯示節點“ino”的信息。
--block blk,顯示數據塊“blk”的信息。
--restore-inode ino[,ino,...],恢復命令參數,表示恢復節點“ino”的文件,恢復的文件會自動放在當前目錄下的RESTORED_FILES文件夾中,使用節點編號作為擴展名。
--restore-file 'path',恢復命令參數,表示將恢復指定路徑的文件,并把恢復的文件放在當前目錄下的RECOVERED_FILES目錄中。
--restore-files 'path',恢復命令參數,表示將恢復在路徑中已列出的所有文件。
--restore-all,恢復命令參數,表示將嘗試恢復所有目錄和文件。
-j journal,表示從已經命名的文件中讀取擴展日志。
-b blocknumber,表示使用之前備份的超級塊來打開文件系統,一般用于查看現有超級塊是不是當前所要的文件。
-B blocksize,表示使用數據塊大小來打開文件系統,一般用于查看已經知道大小的文件。
六、實戰:extundelete恢復數據的過程
在數據被誤刪除后,第一時間要做的是卸載被刪除數據所在的磁盤或磁盤分區,如果是系統根分區的數據遭到誤刪除,就需要將系統進入單用戶,并且將根分區以只讀模式掛載。這樣做的原因很簡單,因為將文件刪除后,僅僅是將文件的inode結點中的扇區指針清零,實際文件還存儲在磁盤上,如果磁盤以讀寫模式掛載,這些已刪除的文件的數據塊就可能被操作系統重新分配出去,在這些數據塊被新的數據覆蓋后,這些數據就真的丟失了,恢復工具也回力無天。所以,以只讀模式掛載磁盤可以盡量降低數據塊中數據被覆蓋的風險,以提高恢復數據成功的比率。
6.1通過extundelete恢復單個文件
1.模擬數據誤刪除環境
在演示通過extundelete恢復數據之前,我們首先要模擬一個數據誤刪除環境,這里我們以ext3文件系統為例,在ext4文件系統下的恢復方式與此完全一樣。簡單的模擬操作過程如下:
[root@cloud1 ~]#mkdir /data
[root@cloud1 ~]#mkfs.ext3 /dev/sdc1
[root@cloud1 ~]#mount /dev/sdc1??/data
[root@cloud1 ~]# cp /etc/passwd??/data
[root@cloud1 ~]# cp -r /app/ganglia-3.4.0??/data
[root@cloud1 ~]# mkdir /data/test
[root@cloud1 ~]# echo "extundelete test" > /data/test/mytest.txt
[root@cloud1 ~]#cd /data
[root@cloud1 data]# md5sum??passwd?
0715baf8f17a6c51be63b1c5c0fbe8c5??passwd
[root@cloud1 data]# md5sum??test/mytest.txt?
eb42e4b3f953ce00e78e11bf50652a80??test/mytest.txt
[root@cloud1 data]# rm -rf /data/*
2.卸載磁盤分區
在將數據誤刪除后,立刻需要做的就是卸載這塊磁盤分區:
[root@cloud1 data]#cd /mnt
[root@cloud1 mnt]# umount /data
3.查詢可恢復的數據信息
通過extundelete命令可以查詢/dev/sdc1分區可恢復的數據信息:
[root@cloud1 /]# extundelete??/dev/sdc1??--inode 2
......
File name? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?| Inode number | Deleted status
. ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2
.. ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?2
lost+found ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?11 ? ? ? ? ? ? ? ? ? ?Deleted
passwd? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? 49153 ? ? ? ? ? ? ? Deleted
test ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?425985 ? ? ? ? ? ? Deleted
ganglia-3.4.0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 245761 ? ? ? ? ? ? Deleted
根據上面的輸出,標記為Deleted狀態的是已經刪除的文件或目錄。同時還可以看到每個已刪除文件的inode值,接下來就可以恢復文件了。
4.恢復單個文件
執行如下命令開始恢復文件:
[root@cloud1 /]# extundelete??/dev/sdc1??--restore-file ?passwd ? 或 ?/passwd
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 54 descriptors loaded.
Successfully restored file passwd
[root@cloud1 /]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
passwd
[root@cloud1 RECOVERED_FILES]# md5sum??passwd?
0715baf8f17a6c51be63b1c5c0fbe8c5??passwd
extundelete恢復單個文件的參數是“--restore-file”,這里需要注意的是,“--restore-file”后面指定的是恢復文件路徑,這個路徑是被恢復文件所在分區的相對路徑。相對路徑是相對于原來文件的存儲路徑而言的,比如,原來文件的存儲路徑是/data/passwd,那么在參數后面直接指定passwd文件即可,如果原來文件的存儲路徑是/data/test/mytest.txt,那么在參數后面通過“test/mytest.txt”指定即可。(即每個分區的第一級目錄即為分區根目錄 "/", 其 inode 固定為 2)
在文件恢復成功后,extundelete命令默認會在執行命令的當前目錄下創建一個RECOVERED_FILES目錄,此目錄用于存放恢復出來的文件,所以執行extundelete命令的當前目錄必須是可寫的。
根據上面的輸出,通過md5sum命令校驗,校驗碼與之前的完全一致,表明文件恢復成功。
6.2通過extundelete恢復單個目錄
extundelete除了支持恢復單個文件,也支持恢復單個目錄,在需要恢復目錄時,通過 “--restore-directory”選項即可恢復指定目錄的所有數據。
繼續在上面模擬的誤刪除數據環境下操作,現在要恢復/data目錄下的ganglia-3.4.0文件夾,操作如下:
[root@cloud1 mnt]# extundelete??/dev/sdc1??--restore-directory ?/ganglia-3.4.0
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory /ganglia-3.4.0 ...?
781 recoverable inodes found.
Looking through the directory structure for deleted files ...?
4 recoverable inodes still lost.
[root@cloud1 mnt]# ls
RECOVERED_FILES
[root@cloud1 mnt]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0
可以看到之前刪除的目錄ganglia-3.4.0已經成功恢復了,進入這個目錄檢查發現:所有文件內容和大小都正常。
6.3 通過extundelete恢復所有誤刪除數據
當需要恢復的數據較多時,一個個地指定文件或目錄將是一個非常繁重和耗時的工作,不過,extundelete考慮到了這點,此時可以通過“--restore-all”選項來恢復所有被刪除的文件或文件夾。
仍然在上面模擬的誤刪除數據環境下操作,現在要恢復/data目錄下所有數據,操作過程如下:
[root@cloud1 mnt]# extundelete??/dev/sdc1 --restore-all
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory / ...?
781 recoverable inodes found.
Looking through the directory structure for deleted files ...?
0 recoverable inodes still lost.
[root@cloud1 mnt]# ls
RECOVERED_FILES
[root@cloud1 mnt]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0??passwd??test
[root@cloud1 RECOVERED_FILES]# du -sh??/mnt/RECOVERED_FILES/*
15M? ???/mnt/RECOVERED_FILES/ganglia-3.4.0
4.0K? ? /mnt/RECOVERED_FILES/passwd
8.0K? ? /mnt/RECOVERED_FILES/test
可以看到所有數據全部完整地恢復了。
6.4通過extundelete恢復某個時間段的數據
有時候刪除了大量的數據量,其中很多數據都是沒用的,我們僅需要恢復其中的一部分數據,此時,如果采用恢復全部數據的辦法,不但耗時,而且浪費資源,在這種情況下,就需要采用另外的一種恢復機制有選擇地恢復,extundelete提供了“—after”“和”--before“參數,可以通過指定某個時間段,進而只恢復這個時間段內的數據。
下面通過一個簡單示例,描述下如何恢復某個時間段內的數據。
我們首先假定在/data目錄下有個剛剛創建的壓縮文件ganglia-3.4.0.tar.gz,然后刪除此文件,接著卸載/data分區,開始恢復一小時內的文件,操作如下:
[root@cloud1 ~]#cd /data/
[root@cloud1 data]# cp /app/ganglia-3.4.0.tar.gz??/data
[root@cloud1 data]# date +%s
1379150309
[root@cloud1 data]# rm -rf ganglia-3.4.0.tar.gz
[root@cloud1 data]# cd /mnt
[root@cloud1 mnt]# umount /data
[root@cloud1 mnt]# date +%s
1379150340
[root@cloud1 mnt]# extundelete??--after 1379146740 --restore-all /dev/sdc1
Only show and process deleted entries if they are deleted on or after 1379146740 and before 9223372036854775807.
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory / ...?
779 recoverable inodes found.
[root@cloud1 mnt]#??cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0.tar.gz
可以看到,剛才刪除的文件,已經成功恢復,而在/data目錄下還有很多被刪除的文件卻沒有恢復,這就是”--after“參數控制的結果,因為/data目錄下其他文件都是在一天之前刪除的,而我們恢復的是一個小時之內被刪除的文件,這就是沒有恢復其他被刪除文件的原因。
在這個操作過程中,需要注意是“--after”參數后面跟的時間是個總秒數。起算時間為“1970-01-01 00:00:00 UTC”,通過“date +%s”命令即可將當前時間轉換為總秒數,因為恢復的是一個小時之內的數據,所以“1379146740”這個值就是通過“1379150340”減去“60*60=3600”獲得的
?
總結
以上是生活随笔為你收集整理的数据恢复软件extundelete介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 3.1 哈尔空间 V0
- 下一篇: Additive属性动画