突发事件,应用上传的数据被程序自动删掉了,可悲的是还没有数据备份,数据是放在系统的 /data/webapps/xxxx/upload 目录下面,可把我们急坏了,之前又没有做过数据恢复的测试,然后我找到了一款数据恢复的软件,成功把删除的大部分数据找回来了,我的数据恢复过程如下。
如果我们的源里面添加了 epel 仓库的话,我们可以直接使用下面的命令安装。
yum install extundelete -y2、源码编译安装wget http://zy-res.oss-cn-hangzhou.al ... te-0.2.4.tar.bz2yum -y install bzip2 e2fsprogs-devel e2fsprogs gcc-c++ maketar -xvjf extundelete-0.2.4.tar.bz2cd extundelete-0.2.4 ./configuremake && make install因为我的数据路径比较深,所以我们需要一步步查找,可以先从根分区 inode 查找
extundelete /dev/sdb1 --inode 2
我们会看到 weapps 目录的inode,
extundelete /dev/sda5 --inode 24641537
我们看到项目的 inode,
extundelete /dev/sda5 --inode 24903688
我们找到了最终删除数据的目录 upload
extundelete /dev/sda5 --inode 24904454
我们可以看到标称的 Deleted,这些数据就是我们要进行恢复的数据。
那我们就恢复指定目录,以当前分区为根分区进行路径设定,项目名进行掩盖
extundelete /dev/sda5 --restore-directory /webapps/xxxx/upload
因为磁盘数据一直在读写,所以有些文件之前的 inode 已经被重新分配了,导致部分数据无法恢复,数据最后会告诉我们有多少文件没有回复,但是大部分数据我们已经恢复了,这就是很重要的事情了。
那我们查看一下回复的数据吧,软件会在当前目录生成一个目录 RECOVERED_FILES 里面就是我们恢复的数据。
恢复全部数据可以使用命令
extundelete /dev/sda5 --restore-all使用方法
extundelete --help
其中,参数(options)有:
--version, -[vV],显示软件版本号。
--help,显示软件帮助信息。
--superblock,显示超级块信息。
--journal,显示日志信息。
--after dtime,时间参数,表示在某段时间之后被删的文件或目录。
--before dtime,时间参数,表示在某段时间之前被删的文件或目录。动作(action)有:
--inode ino,显示节点“ino”的信息。
--block blk,显示数据块“blk”的信息。
--restore-inode ino[,ino,...],恢复命令参数,表示恢复节点“ino”的文件,恢复的文件会自动放在当前目录下的RESTORED_FILES文件夹中,使用节点编号作为扩展名。
--restore-file 'path',恢复命令参数,表示将恢复指定路径的文件,并把恢复的文件放在当前目录下的RECOVERED_FILES目录中。
--restore-files 'path',恢复命令参数,表示将恢复在路径中已列出的所有文件。
--restore-all,恢复命令参数,表示将尝试恢复所有目录和文件。
-j journal,表示从已经命名的文件中读取扩展日志。
-b blocknumber,表示使用之前备份的超级块来打开文件系统,一般用于查看现有超级块是不是当前所要的文件。
-B blocksize,通过指定数据块大小来打开文件系统,一般用于查看已经知道大小的文件。
在数据删除之后,首先要卸载被删除数据所在的磁盘或是分区,如果是系统根分区遭到误删除,就需要进入单用户模式下,将根分区以只读的方式挂载。
原因:因为文件删除之后,仅仅是将文件的inode节点中的扇区指针清零,实际上文件还存在磁盘上面,如果磁盘以读写方式挂载,这些删除的数据块可能会被系统从新分配出去,这些数据块被覆盖之后,这些数据就真的丢失了,所以以只读的方式挂载,尽可能避免数据被覆盖。
我用的是Centos系统,在安装extundelete之前需要安装e2fsprogs,e2fsprogs-libs,e2fsprogs-devel。
这里用:yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel 来完成安装。
编译安装extundelete:
tar xjf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make && make install
extundelete的用法,可以通过help查看详细!
extundelete恢复数据的过程:
在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原因很简单,因为将文件删除后,仅仅是将文件的inode节点中的扇区指针清零,实际文件还储存在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也无力回天。所以!以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数据成功的比例。
模拟数据误删环境:
创建一个新的分区后,挂载到一个目录下,往该目录下cp一些文件或者目录,校验个问句的md5值,然后删除该目录下的文件,用来模拟实验环境。
卸载磁盘分区,并通过执行extundelete命令查询/dev/sdb1分区可恢复的数据信息:
# extundelete /dev/sdb1 --inode 2
根据输出信息,标记为Deleted状态的是已经删除的文件或目录。同时还可以看到已删除文件的inode值,接下来就可以恢复文件了。
恢复单个文件:
extundelete /dev/sdb1 --restore-file passwd
会在当前目录下生成一个RECOVERED_FILES目录,里面保存已经恢复的文件。
恢复单个目录:
extundelete /dev/sdb1 --restore-directory /mongodb
恢复所有误删文件:
extundelete /dev/sdb1 --restore-all
extundelete还可以实现恢复某个时间段的数据。可以通过“--after”和“--before”参数实现!
原文地址:http://jingyan.baidu.com/article/3c48dd3493221de10be35889.html
目录[-]
一、 将磁盘分区挂载为只读二、 使用数据恢复工具 extundelete1. 下载2. 编译三、 挂载新硬盘1 在xen上挂载一块磁盘给B2 登录服务器B, 准备挂载新磁盘。四、通过NFS远程挂载1. 服务器B上安装NFS2. 服务器A上挂载远程目录五、数据恢复1. 得到删除的大概时间2. 查看被删除文件3. 数据恢复六、收尾工作这一步很重要,并且在误删除文件后应尽快将磁盘挂载为只读。越早进行,恢复的成功机率就越大。
1. 查看被删除文件位于哪个分区
[root@localhost ~]# mount
/dev/mapper/VolGroup-lv_root on / type ext4(rw)
/dev/mapper/VolGroup-lv_home on /home type ext4(rw)
2. 尝试将对应目录重新挂载为只读
[root@localhost ~]# mount -r -n -o remount /home
mount: /home is busy
3. 如果显示 xxx is busy
[root@localhost ~ ]# fuser -v -m /data
找出相关进程,kill.
4. 成功将目录挂载为只读
[root@localhost ~ ] # mount -r -n -o remount /home
此时在/home目录 touch文件时,会报错:
[root@localhost ~ ] # touch txt
touch: cannot touch `txt’: Read-only file system
之前尝试了debugfs + dd,未果。
后来安装 extundelete-0.2.4 ,:
(1) 因为sourceforge被墙,服务器上直接wget不成功,所以只能在本地翻墙下载,链接如下:
(2) 把下载的文件放到服务器
启动本地的nginx,然后在服务器上wget(当然通过其它方法也可以,只要能传到服务器):
wget http://本机IP/extundelete-0.2.4.tar.bz2
(3) 解压
tar jxf extundelete - 0 . 2 . 4 .tar.bz2
(1) configure
[root@localhost extundelete-0.2.4]# ./configure
configure时报错,看了下config.log,确定是本机没编译环境 。
yum -y install gcc+ gcc-c++
等待,有一点慢。
安装完成后,再次config,依然报错
Configuring extundelete 0.2.4
configure: error: Can’t find ext2fs library
这是因为extundelete依赖e2fsprogs。
安装e2fsprogs后再次configure,成功。
[root@localhost extundelete-0.2.4]# yum install e2fsprogs-devel
[root@localhost extundelete-0.2.4]# ./configure
Configuring extundelete 0.2.4
Writing generated files to disk
(2) make & make install
[root@localhost extundelete-0.2.4]#make & make install
如果没有异常信息,基本说明安装成功.
(3) 可以到src目录验证下.
[root@localhost extundelete-0.2.4]# cd src
[root@localhost src]# ./extundelete
No action specified; implying --superblock.
./extundelete: Missing device name.
Usage: ./extundelete [options] [--] device-file
.............
[root@localhost src]# ./extundelete -v
extundelete version 0.2.4
libext2fs version 1.41.12
Processor is little endian.
如上信息,证明安装成功。
下面才真正开始数据恢复。
(如果原服务器磁盘空间够大,可以跳过这一步。)
因为被误删的数据很大(约200G),原服务器所在的物理机上也没有磁盘空间了。因些需要到远程挂载另一台服务器B上的磁盘,B是xen虚出的机器,空间也不够,但所在的物理机上还有磁盘空间,这时需要从宿主机上分空间给B。
因为是图形操作,就不再细说。只需分配足够大的空间就可以了,我当时选的是300G。
(1) 查看新磁盘是否已挂载
[nmen@dev -ubuntu-server] ls /dev/sd*
/dev/sda /dev/sda1 /dev/sda2 /dev/sda5 /dev/sda6 /dev/sda7 /dev/sda8 /dev/sdb
/dev/sdb确实已挂载。
此时新盘是未分区,也未格式化,因此需要先进行这两件事。
(2) 分区
下图是hdb的硬盘,sdb的盘也一样的操作。
(本图来自:http://www.shyw.net/bbs/yxt443333-1-1.html)
(3) 格式化
[nmen@dev -ubuntu-server]:~$ sudo mkfs -t ext3 /dev/sdb1
mke2fs 1.41.11 (14-Mar-2010)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
22937600 inodes, 91749215 blocks
4587460 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
2800 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 33 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
显示以上信息说明已成功格式化。
(4) 设置卷标
sudo e2label /dev/sdb1 /restore
(5) 挂载
[nmen@dev -ubuntu-server]:~$ mkdir /restore
[nmen@dev - ubuntu - server] : ~ $ mount -vl -t ext3 /dev/sdb1 /restore
至此服务器B上挂载新硬盘结束,现在有足够空间来做存放要恢复的数据了。
通过网络, 将远程主机B共享的文件系统,挂载到需要做数据恢复的机器A。
(1) 安装
B是ubuntu系统,默认没安装nfs.
# sudo apt-get install nfs-kernel-server
(2) 配置
修改/etc/exports , 添加如下语句。
# /etc/exports: the access control list for filesystems which may be exported
# to NFS clients. See exports(5).
#
# Example for NFSv2 and NFSv3:
# /srv/homes hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,no_subtree_check)
#
# Example for NFSv4:
# /srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
# /srv/nfs4/homes gss/krb5i(rw,sync,no_subtree_check)
#
/restore *(rw,sync,no_root_squash,no_subtree_check)
其中 :
/restore -- 需要与客户机共享的目录;
* -- 表示任何主机均可访问本目录,也可指定IP;
(w,sync,no_root_squash,no_subtree_check) -- 配置客户机的权限;
因为是临时使用,并且是服务器位于内网,所以设置相对随意。
(3) 使配置生效
# exportfs –rv
# /etc/init.d/nfs-kernel-server restart
(4) 验证是否配置成功
显示NFS服务器输出目录列表:
nmen@dev -ubuntu-server: showmount -e
Export list for chinahrd-ubuntu-dev:
/restore *
(5) 防火墙
因为时间紧急,并且是内网,所以临时关闭了B上的防火墙:
sudo ufw disable
可通过以下命令启用防火墙:
sudo ufw enable
将/restore目录从服务器 B 挂载到 /mnt 上。
mount -t nfs [B的IP]:/restore /mnt
命令详解如下:
# mount -t nfs [-o mount-options] server:/directory /mount-point
-o mount-options
指定可以用来挂载 NFS 文件系统的挂载选项。
server:/directory
指定包含共享资源的服务器主机名,以及要挂载的文件或目录的路径。
/mount-point
指定要挂载文件系统的目录。
这一步不是必须,但这个有助于更快的回复想要的数据。
date -d "Fri Apr 15:40:00 2014" +%s
1397202000
1397202000这个时间值,我们后期会用到。
# extundelete /dev/sdb1 --inode 2
File name | Inode number | Deleted status
. 9
.. 11
lost+found 24 Deleted
data 82 Deleted
一个分区挂载到一个目录下时,”根”目录的inode值为一般是2。
状态为deleted的是被删除的文件。
进入刚mount的远程目录/restore;
指定--after "1397202000", 表示恢复这个时间点之后的文件;
文件默认会被恢复到当前目录下的RECOVERED_FILES目录中。
cd /restore
[root@localhost restore]#[extundelete的安装路径]./extundelete --restore-all --after "1397202000" /dev/mapper/VolGroup-lv_home
Only show and process deleted entries if they are deleted on or after 1397202000 and before 9223372036854775807.
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 6924 groups loaded.
Loading journal descriptors ... 27149 descriptors loaded.
Searching for recoverable inodes in directory / ...
696 recoverable inodes found.
Looking through the directory structure for deleted files ...
Unable to restore inode 27394319 (VMware/9.50_ps/9.55locate.vmx.lck): Space has been reallocated.
Unable to restore inode 27402241 (VMware/9.35win7/9.35win7.vmx.lck): Space has been reallocated.
Unable to restore inode 27396032 (VMware/9.35win7/9.35win7-Snapshot1.vmsn): No undeleted copies found in the journal.
Unable to restore inode 27394051 (VMware/9.36win2008/9.36win2008R2.vmx.lck/E00633.lck): Space has been reallocated.
Unable to restore inode 27394603 (lost+found/E09292.lck): Space has been reallocated.
8 recoverable inodes still lost.
一般来说,要等很久。。。
cd restore/RECOVERED_FILES$
ls
110_open_dns 111_open_dns_node1 112_DNS_node2 116_svn
删除的文件回来了,至此松一口气。
(1) 重新挂载A上的磁盘为可读写:
[root@localhost src]# mount -o remount, rw /home/
卸载服务器B上的目录。
(2) 开启B的防火墙。
sudo ufw enable
(3) 在A上对rm命令启用别名,防止沉默式删除。
vi /etc/bashrc
source /etc/bashrc
# do not delete / or prompt if deleting more than 3 files at a time #
alias rm='rm -I --preserve-root'
# confirmation #
alias mv='mv -i'
alias cp='cp -i' alias ln='ln -i'
# Parenting changing perms on / #
alias chown='chown --preserve-root'
alias chmod='chmod --preserve-root'
alias chgrp='chgrp --preserve-root'
(4) 在B上使用Rsync,定期备份A上数据。
参考:http://abloz.com/2013/09/12/linux-rm-rf-file-recovery-record.html
| 欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) | Powered by Discuz! 7.2 |