• extundelete是基于Linux的一个数据恢复工具,它通过分析文件系统的日志,解析出所有文件的inode信息,从而可以恢复Linux下主流的ext3,ext4文件系统下被误删除的文件。
  • [问题案例]最近看到群里提到如何恢复LINUX下ext4误删的文件,之前听说过ext3分区恢复工具ext3grep,但是恢复ext4一直没有概念,而且目前线上的系统分区格式都是ext4,SO网上找到了一款叫extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复,对我们运维攻城狮算是一款神器级别的软件,这里整理了如下文档,供大家参考。
  • 在安装extundelete之前需要安装e2fsprogs,e2fsprogs-libs,e2fsprogs-devel。

    这里用:yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel 来完成安装。

    注意事项

    • 恢复文件的时候一定要卸载磁盘分区
  • 虚拟机:        vmware workstation 9.0.2

    操作系统:      CentOS6.3 x64

    extundelete:   extundelete-0.2.4

    一.试验环境

    1.首先关闭SELINUX

    # setenforce 0

    # vi /etc/sysconfig/selinux

    ---------------

    SELINUX=disabled

    ---------------

    2.在虚拟机上创建一个2G的磁盘

    3.进入系统,创建一个2G的主分区

    # fdisk /dev/sdb

    ---------------------

    n+p+1+回车+回车+w

    ---------------------

    4.使分区无需重启就能生效

    # partx -a /dev/sdb

    5.格式化为ext4分区并挂载

    # mkfs.ext4 /dev/sdb1

    # mkdir /data

    # mount /dev/sdb1 /data

    注: 在实际线上恢复过程中,切勿将extundelete安装到你误删的文件所在硬盘,这样会有一定几率将需要恢复的数据彻底覆盖。

    建议加装一块硬盘将extundelete安装到此硬盘,再做以下操作。

    二.extundelete安装

    1.安装依赖包

    # yum install e2fsprogs* -y

    2.下载并安装extundelete

    # wget http://nchc.dl.sourceforge.NET/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

    # tar -jxvf extundelete-0.2.4.tar.bz2

    # cd extundelete-0.2.4

    # ./configure --prefix=/usr/local/extundelete

    # make && make install

    3.验证是否安装成功

    # cd /usr/local/extundelete/bin

    # ./extundelete -v

    ---------------------

    extundelete version 0.2.4

    libext2fs version 1.41.12

    Processor is little endian.

    ---------------------

    4.设置环境变量

    # echo "PATH=/usr/local/extundelete/bin:$PATH" >> /etc/profile

    # echo "export PATH" >> /etc/profile

    # source /etc/profile

    5.上传一些图片,安装包等文件到/data目录

    # cd /data

    # yum install lrzsz -y

    # rz

    -------------

    本地文件.....

    -------------

    # ls

    ------------------

    lost+found  MySQL-5.6.10.tar.gz  nginx.conf  pic.jpg

    ------------------

    6.全部删除

    # rm -rf *

    7.查看被删除文件

    1).查看前需卸载该磁盘分区

    # cd ~

    # umount /dev/sdb1

    2).查看文件

    注:一般一个分区挂载到一个目录下时,这个”根”目录的inode值为2

    我们为了查看根目录所有文件,所以查看分区inode为2的这个部分

    # extundelete /dev/sdb1 --inode 2

    --------------------------------

    .....

    File name                                       | Inode number | Deleted status

    .                                                 2

    ..                                                2

    lost+found                                        11             Deleted

    mysql-5.6.10.tar.gz                               12             Deleted

    nginx.conf                                        13             Deleted

    pic.jpg                                           14             Deleted

    --------------------------------

    注:标记为”Deleted”的文件则是被删除的文件

    8.恢复指定的文件

    注: 默认被删文件会恢复到当前目录下的RECOVERED_FILES目录中去

    # extundelete --restore-file pic.jpg /dev/sdb1

    # cd RECOVERED_FILES/

    # ll

    ----------------

    -rw-r--r-- 1 root root 52592 8月  13 07:18 pic.jpg

    ----------------

    9.完全恢复设备上文件

    # extundelete --restore-all /dev/sdb1

    # ll

    -----------------------------------

    总用量 34464

    -rw-r--r-- 1 root root 35174149 8月  13 07:24 mysql-5.6.10.tar.gz

    -rw-r--r-- 1 root root     4551 8月  13 07:24 nginx.conf

    -rw-r--r-- 1 root root    52592 8月  13 07:18 pic.jpg

    -rw-r--r-- 1 root root    52592 8月  13 07:24 pic.jpg.v1

    -----------------------------------

    注:这里完全恢复并不会把之前恢复的pic.jpg文件覆盖掉,而是重命名为pic.jpg.v1

    10.恢复指定的时间点后被删文件

    1).指定一个时间点

    # date -d "Sep 4 03:09:13 2013" +%s

    ------------------

    1378235353

    ------------------

    2).恢复这个时间点后的文件

    # extundelete --restore-all --after “1378235353” /dev/sdb1

    --------------------

    ..........

    --------------------

    注:如果要恢之前的就用before参数。extundelete命令与after结合使用,在进行恢复时非常有用,可以过滤掉那太旧的文件,减小恢复压力。

    11.检验是否恢复成功

    # md5sum RECOVERED_FILES/mysql-5.6.10.tar.gz

    ------------------------------------

    9dcee911fb4bc7e977a6b63f4d3ffa63  RECOVERED_FILES/mysql-5.6.10.tar.gz

    ------------------------------------

    上传刚才误删的mysql安装包

    # rz

    ...

    # md5sum mysql-5.6.10.tar.gz

    ---------------------------------

    9dcee911fb4bc7e977a6b63f4d3ffa63  mysql-5.6.10.tar.gz

    ---------------------------------

    MD5值相同,恢复成功。。。

    -----------大功告成-------------

    extundelete反删除总结

    一、介绍extundelete

    1.extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复。

    2. 在实际线上恢复过程中,切勿将extundelete安装到你误删的文件所在硬盘,这样会有一定几率将需要恢复的数据彻底覆盖。

    3. extundelete还是有很大的不完整性,基于整个磁盘的恢复功能较为强大,基于目录和文件的恢复还不够强大。

    4. extundelete执行完毕后在当前目录生产一个RECOVERED_FILES目录,里面即是恢复出来的文件,还包括文件夹。

    5.任何的文件恢复工具,在使用前,均要将要恢复的分区卸载或挂载为只读,防止数据被覆盖使用。

    umount /dev/partition

    mount -o remount,ro /dev/partition

    6.保持良好的习惯,绝对比恢复数据要更简单。

    二、安装

    0.yum install e2fsprogs* e2fslibs* -y

    1.wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

    2.tar -axf extundelete-0.2.4.tar.bz2 -C /usr/local/src

    3.cd /usr/local/src/extundelete-0.2.4

    4../configure --prefix=/usr/local/extundelete

    5.make

    6.make install

    7.ln -s /usr/local/extundelete/bin/* /usr/local/bin/

    三、使用及命令

    1. umount或者read only 分区

    umount /dev/partition

    mount -o remount,ro /dev/partition

    2.切换到存储恢复文件的目录

    cd $dir

    3.命令

    Usage: extundelete [options] [--] device-file

    Options:

    --superblock           打印指定分区的超级块信息。如不加任何的参数,

    此选项是默认的.

    extundelete --superblock /dev/sda3 <---> extundelete /dev/sda1

    --journal              显示块的日志信息,同--superblock。

    extundelete --journal /dev/sda1

    --after dtime          只恢复指定时间【dtime】(时间戳)之后,被删除的数据

    假如删除的时间大概是2011-7-26 14:30

    date -d "Jul 26 14:30" +%s

    得出秒数 1234567890

    恢复此时间后删除的所有文件

    extundelete /dev/sdb1 --after 1234567890 --restore-all

    --before dtime         只恢复指定时间【dtime】(时间戳)之前,被删除的数据

    Actions:

    --inode ino                显示某分区inode为x的信息,一般是查看该分区下所有的文件.

    extundelete --inode 2 /dev/sda1

    --block blk              显示某分区block为x的信息.

    --restore-inode ino[,ino,...] 恢复一个或多个指定inode号的文件,该恢复的文件,

    保存在当前目录下的RECOVERED_FILES里,文件名为【file.$inode】

    extundelete /dev/sda1 --restore-inode 13,14

    --restore-file 'filename'        恢复指定的文件(被删除的),文件位于当前目录下

    的RECOVERED_FILES/$filename,文件名还是原来的

    extundelete /dev/sda1 --restore-file initramfs-2.6.32-358.el6.x86_64.img

    --restore-files 'read_filename'  恢复指定的文件(真实存在的)中的内容,

    文件位于当前目录下的RECOVERED_FILES/$filename,文件名还是原来的

    vi test_restore.txt(结尾不可有多余的空格)

    System.map-2.6.32-358.el6.x86_64

    config-2.6.32-358.el6.x86_64

    symvers-2.6.32-358.el6.x86_64.gz

    vmlinuz-2.6.32-358.el6.x86_64

    initramfs-2.6.32-358.el6.x86_64.img

    extundelete /dev/sda1  --restore-files test_restore.txt

    --restore-directory 'dir-name'      恢复指定的目录,文件位于当前目录下的

    RECOVERED_FILES/$dir-name,文件名还是原来的

    extundelete /dev/sda1  --restore-files grub

    --restore-all                          恢复某分区里所有被删除的数据,文件名还是原来的

    extundelete /dev/sda1   --restore-all

    4.例

    ①--superblock

    ②--journal

    ③--after dtime

    假如删除的时间大概是2011-7-26 14:30

    date -d "Jul 26 14:30" +%s

    得出秒数 1234567890

    恢复此时间后删除的所有文件

    /usr/local/bin/extundelete /dev/sdb1 --after 1234567890 --restore-all

    ④--before dtime

    ⑤--inode

    ⑥--restore-inode ino[,ino,...]

    ⑦--restore-file 'filename'

    ⑧--restore-files 'read_filename'

    ⑨--restore-directory 'dir-name'

    ⑩--restore-all

    恢复单个目录:

    extundelete  /dev/sdb1 --restore-directory  /MongoDB

    恢复所有误删文件:

    extundelete  /dev/sdb1 --restore-all

    extundelete还可以实现恢复某个时间段的数据。可以通过“--after”和“--before”参数实现!

    【原理】extundelete恢复数据的过程:

    在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原因很简单,因为将文件删除后,仅仅是将文件的inode节点中的扇区指针清零,实际文件还储存在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也无力回天。所以!以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数据成功的比例。

linux extundelete 删除文件恢复的更多相关文章

  1. Linux递归删除文件命令

    Linux递归删除文件命令 find . -name "*.log.*" -exec ls {} \; find . -name "*.log.*" -exec ...

  2. linux反向删除文件

    Linux反选删除文件 最简单的方法是 # shopt -s extglob      (打开extglob模式) # rm -fr !(file1)  如果是多个要排除的,可以这样: # rm -r ...

  3. linux中删除文件内空白行的几种方法。

    linux中删除文件内空白行的几种方法 有时你可能需要在 Linux 中删除某个文件中的空行.如果是的,你可以使用下面方法中的其中一个.有很多方法可以做到,但我在这里只是列举一些简单的方法. 你可能已 ...

  4. Linux下删除文件的原理

    Linux下文件删除的原理 Lniux下控制文件真正被删除的计数器 Linux是link的数量来控制文件删除的.只有当一个文件不存在任何link的时候,这个文件才会被删除.一般来讲,每个文件都有两个l ...

  5. Linux命令 - 删除文件(夹)

    1.删除文件夹 rm –rf /var/test 将会删除/var/test目录以及其下的所有文件.文件夹 2.删除文件 rm -f /var/test/test.txt 将会强制删除/var/tes ...

  6. Linux提示删除文件cannot remove `文件名': Operation not permitted

    Linux系统下删除某个文件时提示如下报错: 执行lsattr命令可以看到隐藏属性-------i--------,如下图: 通过查找资料发现: chattr命令用于改变文件属性.这项指令可改变存放在 ...

  7. 在Linux下删除文件及文件夹(rm)

    删除目录.文件 rm(remove) 功能说明:删除文件或目录.语 法:rm [-dfirv][--help][--version][文件或目录...]补充说明:执行rm指令可删除文件或目录,如欲删除 ...

  8. linux命令の删除文件和文件夹 复制粘贴文件和文件夹

    声明:此博文来自百度经验http://jingyan.baidu.com/article/642c9d34dcba80644a46f72d.html,谢谢分享! linux删除目录很简单,很多人还是习 ...

  9. Linux rm删除文件未释放空间问题分析

    问题描述: 在自己的虚拟机上做实验时出现空间不足情况,检查发现之前的kafka集群测试日志在几天写了 25G,于是进入 /data/kafka01/logs 目录执行 “rm -rf *” 删除所有测 ...

随机推荐

  1. Visual Studio环境变量使用实例:使用环境变量来组织project

    前言 在前一篇文章Visual Studio中的环境变量(以Visual Studio 2013为例)中介绍了VS中的环境变量,本文将以实际样例说明怎样合理使用这些环境变量来组织VC++project ...

  2. Java 中 Map 的使用

    Map接口提供了一组能够以键-值对(key,value)形式存储的数据结构. Map对存入元素仅仅有一个要求.就是键(key)不能反复,Map对于key.value要求不是非常严格,key仅仅要是引用 ...

  3. 套间线程(apartment thread)模型和自由线程(free thread)模型互相创建的情况

     

  4. 初探 hexo博客

    近期两天迷上了hexo和gitcafe.最终搭建好了自己的个人主页.以后也能够用那个来写博客啦~直接用的gitcafe的二级域名和server,(gitcafe的server在国外.速度也挺快的),h ...

  5. IETESTER ie10.local 下载

    下载地址:ietester.ie10.exe.local.zip 技术交流QQ群: 15129679

  6. struts2基础梳理(二)

    本篇主要有:设置struts2匹配的扩展名.使用通配符,值栈,声明式异常以及标签. 设置扩展名: 默认是对.action和不加不论什么扩展名的进行处理.能够设置: <constant name= ...

  7. [android错误] Installation error: INSTALL_FAILED_VERSION_DOWNGRA

    错误表现: [2014-06-27 18:19:51 - XXX] Installing XXXX.apk... [2014-06-27 18:20:00 - XXX] Installation er ...

  8. 绕过Web授权和认证之篡改HTTP请求

    一.什么是HTTP请求 超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通.当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用.如果服务器配置不当,这些请求方法可 ...

  9. loadrunner运行乱码解决方法

    最近进行项目压力测试,选择用loadrunner来进行测试,当在回放时间,脚本中的中文由乱码.快照,经研究,经过一下3步可以解决,分享一下 第一步:当在进行新建脚本时间,选择选项中-〉高级-〉选择“支 ...

  10. jQuery停止动画finish和stop函数区别

    stop()函数直接停止动画,finish()也会停止动画同时所有排队的动画的CSS属性跳转到他们的最终值. 示例代码: <html> <head> <meta char ...