[[email protected] ~]# rm -Rf / #執行不成功的
rm: 在"/" 進行遞歸操作十分危險
rm: 使用 --no-preserve-root 選項跳過安全模式
[[email protected] ~]# rm -rf /* #這個可以執行成功。 呵呵。。。
ext4檔案系統上删除檔案,可以恢複: extundelete ,ext3恢複使用:ext3grep
windows恢複誤删除的檔案: final data v2.0 漢化版 和 easyrecovery
擴充:
Linux檔案系統由三部分組成:檔案名,inode,block
windows也由這三部分組成。
a.txt -->inode --> block
檔案名 存放檔案中繼資料資訊 真正存放資料
檢視檔案檔案名:
[[email protected] ~]# cp /etc/passwd a.txt
[[email protected] ~]# ls a.txt
a.txt
檢視inode号:
常識: 每個檔案,有一個inode号。
[[email protected] ~]# ls -i a.txt
440266 a.txt
檢視inode中的檔案屬性; 通過stat指令檢視inode中包含的内容
[[email protected] ~]# stat a.txt #檢視inode資訊:
[[email protected] ~]# ls -l a.txt
-rw-r--r-- 1 root root 1720 Oct 25 10:21 a.txt
block塊:真正存儲資料的地方
邏輯删除:
為什麼删除比複制快?
誤删除檔案後,第一件事要做什麼??? 你不心删除把存了幾十年的大片删除了。
避免誤删除的檔案内容被覆寫。 如何避免?
解除安裝需要恢複檔案的分區或以隻讀的方式挂載
5.2.2 實戰:在ext4檔案系統上恢複被誤删除的檔案
下載下傳extundelete
http://sourceforge.net/ 開源軟體釋出中心
準備測試分區:
[[email protected] /]# fdisk /dev/sda #建立一個sda4分區
WARNING: DOS-compatible mode is deprecated. It's strongly recommended to
switch off the mode (command 'c') and change display units to
sectors (command 'u').
Command (m for help): p #檢視現有分區表
Disk /dev/sda: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000b8b35
Device Boot Start End Blocks Id System
/dev/sda1 * 1 26 204800 83 Linux
Partition 1 does not end on cylinder boundary.
/dev/sda2 26 1301 10240000 83 Linux
/dev/sda3 1301 1428 1024000 82 Linux swap / Solaris
Command (m for help): n #建立一個新分區
Command action
e extended
p primary partition (1-4)
p #建立一個主分區
Selected partition 4
First cylinder (1428-2610, default 1428):
Using default value 1428
Last cylinder, +cylinders or +size{K,M,G} (1428-2610, default 2610): +1G #指定分區大小
Command (m for help): w #儲存
The partition table has been altered!
Calling ioctl() to re-read partition table.
WARNING: Re-reading the partition table failed with error 16: Device or resource busy.
The kernel still uses the old table. The new table will be used at
the next reboot or after you run partprobe(8) or kpartx(8)
Syncing disks.
[[email protected] ~]#reboot
或
[[email protected] ~]# partx -a /dev/sda #獲得新分區表
擴充:
如果在根下删除檔案了,想恢複,怎麼辦?
方法1: 立即斷電,然後把磁盤以隻讀方式,挂載到另一個電腦中進行恢複
方法2:把extundelete在虛拟機上(虛拟機系統要和伺服器版本一樣),提前安裝好後再複制到U盤中,把U盤插入伺服器,恢複時,恢複的檔案要儲存到U盤中,(不要讓恢複的資料寫到/下,那樣會覆寫之前删除的檔案)
使用新的分區表:
[[email protected] /]# mkdir /tmp/sda4 #建立挂載點
[[email protected] ~]# mkfs.ext4 /dev/sda4 #格式化
[[email protected] ~]# mount /dev/sda4 /tmp/sda4/ #挂載
5.2.3 複制一些測試檔案,然後把這些檔案再删除,然後示範恢複:
[[email protected] ~]# cp /etc/passwd /tmp/sda4/
[[email protected] ~]# cp /etc/hosts /tmp/sda4/
[[email protected] ~]# echo aaa > a.txt
[[email protected] ~]# mkdir -p /tmp/sda4/a/b/c
[[email protected] ~]# cp a.txt /tmp/sda4/a/
[[email protected] ~]# cp a.txt /tmp/sda4/a/b/
[[email protected] ~]# touch /tmp/sda4/a/b/kong.txt
安裝tree指令:
[[email protected] ~]# rpm -ivh /mnt/Packages/tree-1.5.3-2.el6.x86_64.rpm
[[email protected] ~]# tree /tmp/sda4/
/tmp/sda4/
├── a
│ ├── a.txt
│ └── b
│ ├── a.txt
│ ├── c #空目錄
│ └── kong.txt #空檔案
├── hosts
├── lost+found
└── passwd
删除檔案:
[[email protected] ~]# cd /tmp/sda4/
[[email protected] sda4]# ls
a hosts lost+found passwd
[[email protected] sda4]# rm -rf a hosts passwd
誤删除檔案後,第一件事要做什麼???
如何避免誤删除的檔案内容被覆寫???
解除安裝需要恢複檔案的分區:或以隻讀的方式挂載
[[email protected] ~]#cd /root
[[email protected] ~]# umount /tmp/sda4
5.2.4 安裝extundelet
上傳extundelete到linux中:
從windows上傳extundelete檔案到linux,安裝xmanager v5 或者CRT
[[email protected] ~]# rpm -ivh /mnt/Packages/lrzsz-0.12.20-27.1.el6.x86_64.rpm
安裝後,就有了rz指令和sz指令
rz : 上傳windows中的檔案到linux
sz :下載下傳,将linux中的檔案傳到windows
解壓并安裝extundelet
[[email protected] extundelete-0.2.4]# tar jxvf extundelete-0.2.4.tar.bz2
[[email protected] ~]# cd extundelete-0.2.4
[[email protected]]# yum install e2fsprogs-devel
[[email protected] extundelete-0.2.4]# ./configure #檢查系統安裝環境
[root@xuegod63 extundelete-0.2.4]# make -j 4 #編譯,把源代碼編譯成可執行的二進制檔案。
-j 4 使用4程序同時編譯,提升編譯速度 或 使用4核CPU同時編譯。
[[email protected] extundelete-0.2.4]# make install #安裝
install 和cp 有什麼差別?
install 複制時可以指定權限 cp不可以
例:
[[email protected] ~]# install -m 777 /bin/find /opt/a.sh
[[email protected] ~]# ll /opt/
5.2.5 開始恢複
方法1:通過inode結點恢複
方法二:通過檔案名恢複
方法三:恢複某個目錄,如目錄a下的所有檔案:
方法四:恢複所有的檔案
[[email protected] ~]# umount /tmp/sda4/
[[email protected] ~]# mkdir test #建立一個目錄使用于存放恢複的資料
[[email protected] ~]# cd test/
方法1:
通過inode結點檢視被删除的檔案名字:
[[email protected] test]# extundelete /dev/sda4 --inode 2
. 2
lost+found 11
passwd 12 Deleted
hosts 13 Deleted
a 7313 Deleted
擴充:ext4檔案系統的分區根目錄的inode值為2,xfs分區根目錄的inode值為64
[[email protected] test]# ls -id /boot/ #xfs檔案系統
64 /boot/
[[email protected] test]# mount /dev/sda4 /tmp/sda4/
[[email protected] test]# ls -id /tmp/sda4/
2 /tmp/sda4/
[[email protected] test]# umount /tmp/sda4/
方法1:通過inode結點恢複
[[email protected] test]# extundelete /dev/sda4 --restore-inode 12
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 9 groups loaded.
Loading journal descriptors ... 63 descriptors loaded.
[[email protected] test]# ls
RECOVERED_FILES
[[email protected] test]# diff /etc/passwd RECOVERED_FILES/file.12 # 沒有任何輸出,說明一樣
方法二,通過檔案名恢複
[[email protected] test]# extundelete /dev/sda4 --restore-file passwd
[[email protected] test]# diff /etc/passwd RECOVERED_FILES/passwd # 沒有任何輸出,說明一樣
方法三:恢複某個目錄,如目錄a下的所有檔案:
[[email protected] test]# extundelete /dev/sda4 --restore-directory a
[[email protected] test]# tree RECOVERED_FILES/a/
RECOVERED_FILES/a/
├── a.txt
└── b
└── a.txt
下面是原來的目錄結構:
[[email protected] ~]# tree /root/sda4-back/a/
/root/sda4-back/a/
├── a.txt
└── b
├── a.txt
├── c
└── kong.txt
方法四:恢複所有的檔案
[[email protected] test]# extundelete /dev/sda4 --restore-all
删除前後的資料:
extundelete在恢複檔案的時候能不能自動建立空檔案和目錄?
答:不能。