Extundelete 数据恢复

Extundelete 数据恢复

“rm -rf /*” 是我们经常使用的命令，操作不慎全盘接蹦，从删库到跑路，身为过来人的我们都经历过rm带来的痛苦。

不要慌，当我们有了Extundelete就可以解决一系列误删除操作问题。下面我会详细介绍一下这款救命工具。

介绍

常见的开源恢复工具有：debugfs、R-Linux、ext3grep、extundelete

• ext3grep：只支持 ext3 文件系统
• extundelete：支持 ext3 和 ext4 文件系统

实现原理：通过分析文件系统日志，解析出所有文件的 inode 信息，利用 inode 去查找所在 block ,利用 dd 备份出以删除的数据。

---

搭建

• 包名：extundelete-0.2.4.tar.bz2
• 可靠的下载地址：https://pan.baidu.com/s/1WQ8Ns6_sz9yZmkUGVs7ZyA
• 更可靠的密码：5c6a

1、安装依赖包

yum -y install e2fsprogs-devel gcc

2、解压工具包

tar jxf extundelete-0.2.4.tar.bz2

3、指定安装目录、编译、编译安装

./configure ; make ; make install

---

使用

常用参数：

--after dtime            时间参数，表示在某段时间之后被删除的文件或目录
--before dtime           时间参数，表示在某段时间之前被删除的文件或目录
--inode ino              显示节点 ino 的信息
--block blk              显示数据块 blk 的信息
--restore-inode ino      表示恢复节点 ino 的文件，用来恢复单个文件
--restore-file path      表示恢复指定路径下的文件，用来恢复目录下所有文件
--restore-all            表示恢复所有被删除的目录跟文件     

开启恢复流程：

1、查找被删除文件所在目录 id

ls -id /xxx/xxx/

注：输出最左侧为ID号。

2、查看被删除的上层目录 inode

# extundelete 所在分区名称 --inode ID号
extundelete /dev/sdb1 --inode 130619

# 可以看到被删除的目录 package 状态为 Deleted ，inode 为 137256
File name | Inode number | Deleted status
.                 130619
..                130587
package           137256   Deleted
apr-1.5.1         140038
apr-util-1.5.4    535002
httpd-2.4.10      535320
pcre-8.30         656184
siege-3.0.8       656483
libmcrypt-2.5.8   144383
package.xml       146709
mysql-5.6.4-m7    140588
memcache-2.2.7    146712
php-5.4.13        667097
redis-2.2.5       269016
memcached-1.4.15  146806
libevent-master   539531   Deleted

3、恢复数据、恢复指定目录下所有删除的数据

# extundelete 数据所在分区名称 --restore-directory 恢复数据的目录
extundelete /dev/sdb1 --restore-directory /xxx/xxx/xxx/

NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible. You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n)
y
Loading filesystem metadata ... 151 groups loaded.
Loading journal descriptors ... 22517 descriptors loaded.
Searching for recoverable inodes in directory /usr/local/src/package ...
1679 recoverable inodes found.
Looking through the directory structure for deleted files ...
Block 578312 is allocated.
Unable to restore inode 146713 (usr/local/src/package/redis-2.2.5.tgz): Space has been reallocated.
Unable to restore inode 539531 (usr/local/src/package/libevent-master): Space has been reallocated.
1670 recoverable inodes still lost.

4、完成恢复后续工作

# 恢复数据后，会把恢复数据送到当前路径的RECOVERED_FILES/内，再把恢复的数据拿回原处
cp RECOVERED_FILES/xxx/xxx/* /xxx/xxx/xxx/

结束..

---