简介:
Extundelete 数据恢复
救命的稻草!当你在运维过程中不小心误删除数据时,就会用到数据恢复工具,( 都是泪,不多说了 )。
常见的开源数据恢复工具有,debugfs、R-Linux、ext3grep、extundelete 等。
ext3grep 跟 extundelete 比较常用,其中 ext3grep 只支持 ext3 文件系统,extundelete 支持 ext3/ext4。
都是通过分析文件系统日志,解析出所有文件的 inode 信息,利用 inode 去查找所在 block ,利用 dd 备份出以删除的数据。
当数据被删除后,立即以只读的方式重新挂载分区... 记住是立即 !!!
下载地址:
http://jaist.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
今天一不小心,删除了一个放源码包的目录...
1、安装 Extundelete
shell > yum -y install e2fsprogs-devel
## 先安装这两依赖包,不然会报错:configure: error: Can't find ext2fs library
shell > tar jxf extundelete-0.2.4.tar.bz2 shell > cd extundelete-0.2.4 [root@study extundelete-0.2.4]# ./configure ; make ; make install
## 简单介绍一下常用参数
--after dtime 时间参数,表示在某段时间之后被删除的文件或目录
--before dtime 时间参数,表示在某段时间之前被删除的文件或目录
## 简单介绍一下常用动作
--inode ino 显示节点 ino 的信息
--block blk 显示数据块 blk 的信息
--restore-inode ino 表示恢复节点 ino 的文件,用来恢复单个文件
--restore-file path 表示恢复指定路径下的文件,用来恢复目录下所有文件
--restore-all 表示恢复所有被删除的目录跟文件
2、查找被删除的文件
shell > ls -id /usr/local/src 130619 /usr/local/src
## 首先查看被删除的上层目录 inode
shell > extundelete /dev/mapper/vg_study-LogVol00 --inode 130619 ... File name | Inode number | Deleted status . 130619 .. 130587 package 137256 Deleted apr-1.5.1 140038 apr-util-1.5.4 535002 httpd-2.4.10 535320 pcre-8.30 656184 siege-3.0.8 656483 libmcrypt-2.5.8 144383 package.xml 146709 mysql-5.6.4-m7 140588 memcache-2.2.7 146712 php-5.4.13 667097 redis-2.2.5 269016 memcached-1.4.15 146806 libevent-master 539531 Deleted
## 可以看到被删除的目录 package 状态为 Deleted ,inode 为 137256
shell > extundelete /dev/mapper/vg_study-LogVol00 --inode 137256 ... File name | Inode number | Deleted status . 137256 .. 130573 e2p.h;54b8ac2f 137260 Deleted e2p.h 137260 mysql-5.6.4-m7.tar.gz 140630 Deleted httpd-2.4.10.tar.gz 140035 Deleted pcre-8.30.tar.gz 140036 Deleted siege-3.0.8.tar.gz 140037 Deleted libmcrypt-2.5.8.tar.bz2 144382 Deleted php-5.4.13.tar.bz2 144439 Deleted memcache-2.2.7.tgz 144381 Deleted redis-2.2.5.tgz 146713 Deleted libevent-master 539531 Deleted memcached-1.4.15.tar.gz 144377 Deleted libevent-master.zip 146863 Deleted
## 可以看到被删除的目录底下有哪些被删除的文件及 inode 号
3、恢复数据
shell > extundelete /dev/mapper/vg_study-LogVol00 --restore-directory /usr/local/src/package
## 指定删除目录所在分区,--restore-directory 为恢复整个目录,后面是要恢复的目录
NOTICE: Extended attributes are not restored. WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set. The partition should be unmounted to undelete any files without further data loss. If the partition is not currently mounted, this message indicates it was improperly unmounted, and you should run fsck before continuing. If you decide to continue, extundelete may overwrite some of the deleted files and make recovering those files impossible. You should unmount the file system and check it with fsck before using extundelete. Would you like to continue? (y/n) y Loading filesystem metadata ... 151 groups loaded. Loading journal descriptors ... 22517 descriptors loaded. Searching for recoverable inodes in directory /usr/local/src/package ... 1679 recoverable inodes found. Looking through the directory structure for deleted files ... Block 578312 is allocated. Unable to restore inode 146713 (usr/local/src/package/redis-2.2.5.tgz): Space has been reallocated. Unable to restore inode 539531 (usr/local/src/package/libevent-master): Space has been reallocated. 1670 recoverable inodes still lost.
## 其中,redis-2.2.4.tgz 和 libevent-master 没有被恢复,因为 inode 被重新分配出去了...
shell > cd RECOVERED_FILES/usr/local/src/package
## 恢复完成后会在当前目录下生成一个 RECOVERED_FILES 目录
shell > ls e2p.h;54b8ac2f libmcrypt-2.5.8.tar.bz2 memcached-1.4.15.tar.gz php-5.4.13.tar.bz2 libevent-master.zip memcache-2.2.7.tgz mysql-5.6.4-m7.tar.gz
## 只恢复了 7 个文件,删除的有 12 个... 使用 find 查一下没有恢复的文件的 inode 号
shell > find / -inum 140035 /usr/lib64/libe2p.so shell > find / -inum 140036 /usr/lib64/libext2fs.a shell > find / -inum 140037 /usr/lib64/libext2fs.so
## 发现 httpd 、pcre 、siege 的都被分配出去了...,现在恢复不出来的就永远没有了..
## 所以,千万记住:万一误删除数据了,一定要第一时间将数据所在磁盘卸载或挂载为只读分区,防止写入文件 inode 被重新分配。
## 如果误删的是根分区的数据,那么立即进去单用户模式,将根分区只读挂载。
## 又引申出一个问题,做系统分区的时候,最好不要只分一个根分区,像这样的情况很难办...
## 第二,数据恢复软件事先装好吧..
## 第三,删除数据时,先将要删除的数据移动到 /tmp(单独分区),然后删除或脚本定期删除
## 第四,做好数据备份。
## 最后,敲慢点 !!!