用extundelete恢復誤刪除數據實戰

作爲一名運維人員，保證數據的安全是根本職責，所以在維護系統的時候，要慎之又慎，但是有時難免會出現數據被誤刪除的情況，在這個時候改如何快速、有效地恢復數據呢？本文我們就來介紹一下Linux系統下常用的幾個數據恢復工具。

一、如何使用“rm -rf”命令

在Linux系統下，通過命令“rm -rf”可以將任何數據直接從硬盤刪除，並且沒有任何提示，同時Linux下也沒有與Windows下回收站類似的功能，也就意味着，數據在刪除後通過常規的手段是無法恢復的，因此使用這個命令要非常慎重。在使用rm命令的時候，比較穩妥的方法是把命令參數放到後面，這樣有一個提醒的作用。其實還有一個方法，那就是將要刪除的東西通過mv命令移動到系統下的/tmp目錄下，然後寫個腳本定期執行清除操作，這樣做可以在一定程度上降低誤刪除數據的危險性。
其實保證數據安全最好的方法是做好備份，雖然備份不是萬能的，但是沒有備份是萬萬不行的。任何數據恢復工具都有一定侷限性，都不能保證完整地恢復出所有數據，因此，把備份作爲核心，把數據恢復工具作爲輔助是運維人員必須堅持的一個準則。

二、extundelete與ext3grep的異同
在Linux下，基於開源的數據恢復工具有很多，常見的有debugfs、R-Linux、ext3grep、extundelete等，比較常用的有ext3grep和extundelete，這兩個工具的恢復原理基本一樣，只是extundelete功能更加強大，本文重點介紹extundelete的使用。

三、extundelete的恢復原理
在介紹使用extundelete進行恢復數據之前，簡單介紹下關於inode的知識。在Linux下可以通過“ls –id”命令來查看某個文件或者目錄的inode值，例如查看根目錄的inode值，可以輸入：

[root@cloud1 ~]# ls -id  / 
2 /
由此可知，根目錄的inode值爲2。
在利用extundelete恢復文件時並不依賴特定文件格式，首先extundelete會通過文件系統的inode信息（根目錄的inode一般爲2）來獲得當前文件系統下所有文件的信息，包括存在的和已經刪除的文件，這些信息包括文件名和inode。然後利用inode信息結合日誌去查詢該inode所在的block位置，包括直接塊，間接塊等信息。最後利用dd命令將這些信息備份出來，從而恢復數據文件。

四、 安裝extundelete
extundelete的官方網站是http://extundelete.sourceforge.net/ ，其目前的穩定版本是extundelete-0.2.4。，在安裝extundelete之前需要安裝e2fsprogs和e2fsprogs-libs兩個依賴包。
e2fsprogs和e2fsprogs-libs安裝非常簡單，這裏不做介紹。下面是extundelete的編譯安裝過程：

[root@cloud1 app]#tar jxvf  extundelete-0.2.4.tar.bz2
[root@cloud1 app]#cd extundelete-0.2.4
[root@cloud1 extundelete-0.2.4]#./configure
[root@cloud1 extundelete-0.2.4]#make
[root@cloud1 extundelete-0.2.4]#make install
成功安裝extundelete後，會在系統中生成一個extundelete可執行文件。extundelete的使用非常簡單，讀者可以通過“extundelete  --help”獲得此軟件的使用方法。 

五、extundelete用法詳解
extundelete安裝完成後，就可以執行數據恢復操作了，本節詳細介紹下extundelete每個參數的含義。extundelete用法如下：
extundelete --help
命令格式: 
1
extundelete [options] [action] device-file
其中參數（options）有：
--version, -[vV]，顯示軟件版本號。
--help，顯示軟件幫助信息。
--superblock，顯示超級塊信息。
--journal，顯示日誌信息。
--after dtime，時間參數，表示在某段時間之後被刪的文件或目錄。
--before dtime，時間參數，表示在某段時間之前被刪的文件或目錄。

動作（action）有：
--inode ino，顯示節點“ino”的信息。
--block blk，顯示數據塊“blk”的信息。
--restore-inode ino[,ino,...]，恢復命令參數，表示恢復節點“ino”的文件，恢復的文件會自動放在當前目錄下的RESTORED_FILES文件夾中，使用節點編號作爲擴展名。
--restore-file 'path'，恢復命令參數，表示將恢復指定路徑的文件，並把恢復的文件放在當前目錄下的RECOVERED_FILES目錄中。
--restore-files 'path'，恢復命令參數，表示將恢復在路徑中已列出的所有文件。
--restore-all，恢復命令參數，表示將嘗試恢復所有目錄和文件。
-j journal，表示從已經命名的文件中讀取擴展日誌。
-b blocknumber，表示使用之前備份的超級塊來打開文件系統，一般用於查看現有超級塊是不是當前所要的文件。
-B blocksize，表示使用數據塊大小來打開文件系統，一般用於查看已經知道大小的文件。

六、實戰：extundelete恢復數據的過程

在數據被誤刪除後，第一時間要做的是卸載被刪除數據所在的磁盤或磁盤分區，如果是系統根分區的數據遭到誤刪除，就需要將系統進入單用戶，並且將根分區以只讀模式掛載。這樣做的原因很簡單，因爲將文件刪除後，僅僅是將文件的inode結點中的扇區指針清零，實際文件還存儲在磁盤上，如果磁盤以讀寫模式掛載，這些已刪除的文件的數據塊就可能被操作系統重新分配出去，在這些數據塊被新的數據覆蓋後，這些數據就真的丟失了，恢復工具也回力無天。所以，以只讀模式掛載磁盤可以儘量降低數據塊中數據被覆蓋的風險，以提高恢復數據成功的比率。

6.1通過extundelete恢復單個文件

1.模擬數據誤刪除環境

在演示通過extundelete恢復數據之前，我們首先要模擬一個數據誤刪除環境，這裏我們以ext3文件系統爲例，在ext4文件系統下的恢復方式與此完全一樣。簡單的模擬操作過程如下：

[root@cloud1 ~]#mkdir /data
[root@cloud1 ~]#mkfs.ext3 /dev/sdc1
[root@cloud1 ~]#mount /dev/sdc1  /data
[root@cloud1 ~]# cp /etc/passwd  /data
[root@cloud1 ~]# cp -r /app/ganglia-3.4.0  /data
[root@cloud1 ~]# mkdir /data/test
[root@cloud1 ~]# echo "extundelete test" > /data/test/mytest.txt
[root@cloud1 ~]#cd /data
[root@cloud1 data]# md5sum  passwd 
0715baf8f17a6c51be63b1c5c0fbe8c5  passwd
[root@cloud1 data]# md5sum  test/mytest.txt 
eb42e4b3f953ce00e78e11bf50652a80  test/mytest.txt
[root@cloud1 data]# rm -rf /data/*

2.卸載磁盤分區

在將數據誤刪除後，立刻需要做的就是卸載這塊磁盤分區：

[root@cloud1 data]#cd /mnt
[root@cloud1 mnt]# umount /data
3.查詢可恢復的數據信息
通過extundelete命令可以查詢/dev/sdc1分區可恢復的數據信息：

[root@cloud1 /]# extundelete  /dev/sdc1  --inode 2
......
File name                                       | Inode number | Deleted status
.                                                2
..                                                2
lost+found                                        11             Deleted
passwd                                           49153          Deleted
test                                              425985         Deleted
ganglia-3.4.0                                       245761         Deleted
根據上面的輸出，標記爲Deleted狀態的是已經刪除的文件或目錄。同時還可以看到每個已刪除文件的inode值，接下來就可以恢復文件了。

4.恢復單個文件

執行如下命令開始恢復文件：

[root@cloud1 /]# extundelete  /dev/sdc1  --restore-file passwd 
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 54 descriptors loaded.
Successfully restored file passwd
[root@cloud1 /]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
passwd
[root@cloud1 RECOVERED_FILES]# md5sum  passwd 
0715baf8f17a6c51be63b1c5c0fbe8c5  passwd
extundelete恢復單個文件的參數是“--restore-file”，這裏需要注意的是，“--restore-file”後面指定的是恢復文件路徑，這個路徑是文件的相對路徑。相對路徑是相對於原來文件的存儲路徑而言的，比如，原來文件的存儲路徑是/data/passwd，那麼在參數後面直接指定passwd文件即可，如果原來文件的存儲路徑是/data/test/mytest.txt，那麼在參數後面通過“test/mytest.txt”指定即可。
在文件恢復成功後，extundelete命令默認會在執行命令的當前目錄下創建一個RECOVERED_FILES目錄，此目錄用於存放恢復出來的文件，所以執行extundelete命令的當前目錄必須是可寫的。
根據上面的輸出，通過md5sum命令校驗，校驗碼與之前的完全一致，表明文件恢復成功。

6.2通過extundelete恢復單個目錄

extundelete除了支持恢復單個文件，也支持恢復單個目錄，在需要恢復目錄時，通過 “--restore-directory”選項即可恢復指定目錄的所有數據。
繼續在上面模擬的誤刪除數據環境下操作，現在要恢復/data目錄下的ganglia-3.4.0文件夾，操作如下：

[root@cloud1 mnt]# extundelete  /dev/sdc1  --restore-directory /ganglia-3.4.0
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory /ganglia-3.4.0 ... 
781 recoverable inodes found.
Looking through the directory structure for deleted files ... 
4 recoverable inodes still lost.
[root@cloud1 mnt]# ls
RECOVERED_FILES
[root@cloud1 mnt]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0
可以看到之前刪除的目錄ganglia-3.4.0已經成功恢復了，進入這個目錄檢查發現：所有文件內容和大小都正常。

6.3 通過extundelete恢復所有誤刪除數據

當需要恢復的數據較多時，一個個地指定文件或目錄將是一個非常繁重和耗時的工作，不過，extundelete考慮到了這點，此時可以通過“--restore-all”選項來恢復所有被刪除的文件或文件夾。
仍然在上面模擬的誤刪除數據環境下操作，現在要恢復/data目錄下所有數據，操作過程如下：

[root@cloud1 mnt]# extundelete  /dev/sdc1 --restore-all
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory / ... 
781 recoverable inodes found.
Looking through the directory structure for deleted files ... 
0 recoverable inodes still lost.
[root@cloud1 mnt]# ls
RECOVERED_FILES
[root@cloud1 mnt]# cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0  passwd  test
[root@cloud1 RECOVERED_FILES]# du -sh  /mnt/RECOVERED_FILES/*
15M     /mnt/RECOVERED_FILES/ganglia-3.4.0
4.0K    /mnt/RECOVERED_FILES/passwd
8.0K    /mnt/RECOVERED_FILES/test
可以看到所有數據全部完整地恢復了。

6.4通過extundelete恢復某個時間段的數據

有時候刪除了大量的數據量，其中很多數據都是沒用的，我們僅需要恢復其中的一部分數據，此時，如果採用恢復全部數據的辦法，不但耗時，而且浪費資源，在這種情況下，就需要採用另外的一種恢復機制有選擇地恢復，extundelete提供了“—after”“和”--before“參數，可以通過指定某個時間段，進而只恢復這個時間段內的數據。
下面通過一個簡單示例，描述下如何恢復某個時間段內的數據。
我們首先假定在/data目錄下有個剛剛創建的壓縮文件ganglia-3.4.0.tar.gz，然後刪除此文件，接着卸載/data分區，開始恢復一小時內的文件，操作如下：

[root@cloud1 ~]#cd /data/
[root@cloud1 data]# cp /app/ganglia-3.4.0.tar.gz  /data
[root@cloud1 data]# date +%s
1379150309
[root@cloud1 data]# rm -rf ganglia-3.4.0.tar.gz
[root@cloud1 data]# cd /mnt
[root@cloud1 mnt]# umount /data
[root@cloud1 mnt]# date +%s
1379150340
[root@cloud1 mnt]# extundelete  --after 1379146740 --restore-all /dev/sdc1
Only show and process deleted entries if they are deleted on or after 1379146740 and before 9223372036854775807.
Loading filesystem metadata ... 40 groups loaded.
Loading journal descriptors ... 247 descriptors loaded.
Searching for recoverable inodes in directory / ... 
779 recoverable inodes found.
[root@cloud1 mnt]#  cd RECOVERED_FILES/
[root@cloud1 RECOVERED_FILES]# ls
ganglia-3.4.0.tar.gz
可以看到，剛纔刪除的文件，已經成功恢復，而在/data目錄下還有很多被刪除的文件卻沒有恢復，這就是”--after“參數控制的結果，因爲/data目錄下其他文件都是在一天之前刪除的，而我們恢復的是一個小時之內被刪除的文件，這就是沒有恢復其他被刪除文件的原因。
在這個操作過程中，需要注意是“--after”參數後面跟的時間是個總秒數。起算時間爲“1970-01-01 00:00:00 UTC”，通過“date +%s”命令即可將當前時間轉換爲總秒數，因爲恢復的是一個小時之內的數據，所以“1379146740”這個值就是通過“1379150340”減去“60*60=3600”獲得的。