引子

指在键上飘，难免会湿手套。当你按下shift+del键后，会不会突然心里凉透，当你执行rm -rf后，会不会马上去搜索哪个国家入境不需要签证。或者你还会遇到如下的情况：

root@4xem7:~# alias

alias cd='rm -rf'

alias d='docker'

数据恢复原理浅析

如图所示，硬盘上数据的存放有一个类似于书本目录的东西存在，就是图中最上面那一排圆形。硬盘格式化后，被分割成了很多个小块，就像蜂巢一样，一个个的小房间，就是上图中间部分的长方块，这个小房间才是真正存放数据的地方，最下面的数字，是房间号，也就是inode号。如果我们要使用文件A，在最上面的目录里面就能很快的知道文件A在1号房间。

➤什么情况下，被误删的数据能恢复

误删情况发生后，第一重要的事情就是卸载误删数据所在的分区，而不是关机，绝对不能关机，为什么？现在所有的系统优化，其本质就是把硬盘IO转换成内存IO，就是把本该到硬盘里面去读写的内容，提前预载到内存里面去。你若正常关机，redis持久化的数据，可能有好几个G，mysql的InnoDB_Buffer_Pool缓冲池里面的东西(可能有好几十个G)，这些东西往硬盘里面一写，你还想恢复数据，等我发明时光机吧。为什么说马上卸载分区，数据就能恢复。看下图，rm -rf删除了A文件。

其实，系统只是删除了目录里面的文件指向，文件A还好好的趟在1号房间里面。所以这种情况，文件是能很轻松的恢复的。

➤什么情况下，被误删的数据不能恢复

承接上一张图，目录里面显示1号房间是空的，可以重新放数据进去，若此时，硬盘又接收到写入请求(比方说你脑抽，把数据恢复软件安装到了误删数据所在的分区)，就会把数据写入1号房间：

此时，你若还想恢复数据，只能等我发明时光机了。

extundelete恢复举例

extundelete可以恢复ext3、ext4文件系统下被误删的文件，看其恢复原理xfs文件系统应该也是可以恢复的。

安装extundelete

在安装extundelete前，需要安装e2fsprogs和e2fsprogs-libs，自行用yum安装就可以。

[root@dish ~]# rpm -qa |grep e2fsprogs

e2fsprogs-libs-1.41.12-22.el6.x86_64

e2fsprogs-1.41.12-22.el6.x86_64

epel源里面有extundelete，直接安装就行。

[root@dish ~]# yum install extundelete -y

[root@dish ~]# rpm -ql extundelete

/usr/bin/extundelete

/usr/share/doc/extundelete-0.2.4

/usr/share/doc/extundelete-0.2.4/LICENSE

/usr/share/doc/extundelete-0.2.4/README

extundelete常用参数解释

Options:

--superblock 显示超级块信息，默认选项.

--journal 显示日志信息.

--after dtime 表示在某段时间之后被删除的文件或目录.

--before dtime 表示在某段时间之前被删除的文件或目录.

Actions:

--inode ino Show info on inode 'ino'.

--block blk Show info on block 'blk'.

--restore-inode ino[,ino,...]

恢复指定inode号的文件，恢复出来的文件会放在当前目录下的RECOVERED_FILES文件夹中

--restore-file 'path' 恢复指定路径的文件

--restore-files 'path' 恢复在路径中列出的所有文件

--restore-all 尝试恢复所有目录和文件

恢复文件

➤测试文件

[root@dish reco]# for i in A B C D;do echo "this is file$i">$i;done

[root@dish reco]# cat A B C D

this is fileA

this is fileB

this is fileC

this is fileD

[root@dish reco]# find ./ -type f |xargs md5sum >./file.md5

[root@dish reco]# cat file.md5

d41d8cd98f00b204e9800998ecf8427e ./file.md5

c2f9bc9edb959d08dc838af14c5cd8ff ./C

afc688bfcd0666302ed55da472ecfbb8 ./B

0a540f40e1e8c3e5ad50571f1621d5b3 ./A

2c3fdd8c8e23a1ba2d0381981f337348 ./D

[root@dish reco]# rm -rf A B C D

[root@dish reco]# ls

file.md5

➤卸载磁盘分区

发现数据误删后，只做一件事，卸载数据所在分区

[root@dish reco]# cd

[root@dish ~]# umount /dev/vdb1

➤查询可恢复的数据

首先查看数据所在目录reco的inode号

[root@dish ~]# extundelete /dev/vdb1 --inode 2 |grep reco

reco 131073

reco目录的inode号131073

[root@dish ~]# extundelete /dev/vdb1 --inode 131073 |tail

Triple indirect block: 0

File name | Inode number | Deleted status

. 131073

.. 2

A 131074 Deleted

B 131075 Deleted

C 131076 Deleted

D 131077 Deleted

file.md5 131078

如上所示，标记为Deleted状态的就是误删的文件，同时还能看到对应文件的inode值，有了这些，我们就可以恢复文件了。

[root@dish ~]# extundelete /dev/vdb1 --restore-file reco/C

NOTICE: Extended attributes are not restored.

Loading filesystem metadata ... 160 groups loaded.

Loading journal descriptors ... 2858 descriptors loaded.

Successfully restored file reco/C

[root@dish ~]# extundelete /dev/vdb1 --restore-file reco/D

NOTICE: Extended attributes are not restored.

Loading filesystem metadata ... 160 groups loaded.

Loading journal descriptors ... 2858 descriptors loaded.

Successfully restored file reco/D

--restore-file 后面的reco/C是个相对路径，其原本的路径是/bak/reco/C，而bak目录挂载的就是/dev/vdb1。文件恢复成功后，会在你执行恢复命令的当前目录生成一个RECOVERED_FILES目录，恢复出来的文件就在里面。

[root@dish ~]# cd RECOVERED_FILES/reco/

[root@dish reco]# md5sum -c file.md5

./C: OK

./B: OK

./A: OK

./D: OK

恢复出来的文件经过MD5校验全通过。恢复成功。

恢复目录

[root@dish reco]# mkdir mulu

[root@dish reco]# cd !$

cd mulu

[root@dish mulu]# touch {01..09}

[root@dish mulu]# ls

01 02 03 04 05 06 07 08 09

[root@dish mulu]# cd ..

[root@dish reco]# rm -rf mulu

[root@dish reco]# cd

[root@dish ~]# r umount

umount /dev/vdb1

[root@dish ~]# extundelete /dev/vdb1 --restore-directory /reco/mulu

NOTICE: Extended attributes are not restored.

Loading filesystem metadata ... 160 groups loaded.

Loading journal descriptors ... 2857 descriptors loaded.

Searching for recoverable inodes in directory /reco/mulu ...

10 recoverable inodes found.

Looking through the directory structure for deleted files ...

2 recoverable inodes still lost.

[root@dish reco]# ls mulu/

01 02 03 04 05 06 07 08

目录被成功恢复，注意，目录里面的空文件是无法恢复的，09就是一个空文件。

恢复所有文件

需要恢复的文件数量过多的时候，可以用这个选项。

[root@dish tmp]# extundelete /dev/vdb1 --restore-all

恢复某个时间点之后删除的文件

这个应该是用的最多的场景了，比方说需要恢复一个小时内被删除的文件。

extundelete --after `echo $(date +%s)-3600 |bc` --restore-all /dev/vdb1

一个小时3600秒，根据自己需求修改上面的减数。

原创文章，转载请注明： 转载自笛声