前言
每當我們在生產環境服務器上執行rm命令時,總是提心吊膽的,因爲一不小心執行了誤刪,然後就要準備跑路了,畢竟人不是機器,更何況機器也有bug,呵呵。
那麼如果真的刪除了不該刪除的文件,比如數據庫、日誌或執行文件,咋辦呢?欲知後事如何,請仔細看完本篇博客。
模擬場景
1. 刪除
誤刪除服務器目錄/root/selenium/Spider下的MySql.Data.dll文件:
> rm -f /root/selenium/Spider/MySql.Data.dll
> ll /root/selenium/Spider/MySql.Data.dll
ls: cannot access /root/selenium/Spider/MySql.Data.dll: No such file or directory
2. 恢復
- 使用lsof命令查看當前是否有進程打開/root/selenium/Spider/MySql.Data.dll文件:
> lsof | grep /root/selenium/Spider/MySql.Data.dll
- 從上面可以看出,當前文件狀態爲已刪除(deleted)。
- 查看是否存在恢復數據:
/proc/13067/fd:進程操作的文件描述符目錄。
86:文件描述符。
> cat /proc/13067/fd/86
- 使用I/O重定向恢復文件:
> cat /proc/23778/fd/86 > /root/selenium/Spider/MySql.Data.dll
> ls -l /root/selenium/Spider/MySql.Data.dll
-rw-r--r-- 1 root root 702464 Feb 10 12:03 /root/selenium/Spider/MySql.Data.dll
- 重新運行程序:
- 說明恢復的文件沒有問題。
刨根問底
通過前面的模擬場景演示了恢復文件的整個過程,那麼原理是什麼,在什麼情況下,文件纔是可恢復的。
在Linux系統中,每個運行中的程序都有一個宿主進程彼此隔離,以/proc/進程號來體現(Linux本質上就是一個文件系統),比如:ls -l /proc/13067 查看進程PID爲13067的進程信息;當程序運行時,操作系統會專門開闢一塊內存區域,提供給當前進程使用,對於依賴的文件,操作系統會發放一個文件描述符,以便讀寫文件,當我們執行 rm -f 刪除文件時,其實只是刪除了文件的目錄索引節點,對於文件系統不可見,但是對於打開它的進程依然可見,即仍然可以使用先前發放的文件描述符讀寫文件,正是利用這樣的原理,所以我們可以使用I/O重定向的方式來恢復文件。
總結
如果不小心誤刪了文件,不要着急,首先使用 lsof 查看打開該文件的進程,然後再使用 cat /proc/進程號/fd/文件描述符 查看恢復數據,最後使用I/O重定向的方式來恢復文件。