通过lsof命令恢复rm -rf 误删的文件

最新推荐文章于 2024-09-08 11:50:42 发布

原创最新推荐文章于 2024-09-08 11:50:42 发布 · 795 阅读

4 ·

CC 4.0 BY-SA版权

本文介绍了一种在Linux环境下恢复被rm-rf误删的重要数据的方法。通过lsof命令结合grep查找已删除但仍有进程打开的文件，并利用cat命令将文件内容恢复至指定路径。此方法依赖于进程仍持有文件描述符，使得文件在磁盘上得以保留。

针对rm -rf 删除的且在lsof能够看到的情况下

当误删了重要数据时，可以通过lsof |grep deleted命令查询出

user    18940 19112        polkitd    4u      REG               0,38         0    1869210 /data/aaaa (deleted)

查出上述记录也可以通过lsof |grep aaaa来查出上述记录。

通过lsof命令能够恢复文件的原因是：当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。所有，如果该文件没有进程使用，那么文件用该方法则不能恢复。

通过命令cat /proc/18940/fd/4 > /data/aaaa 就可恢复删除的文件。其中18940是进程号，通过lsof |grep aaaa就可查看到，fd固定不变4为文件描述符，应用程序通过文件描述符识别该文件。从4u可以看出，也可通过进入/proc/18940/fd目录查看。不过要注意的是/data目录一定要存在，不然就会报没有文件的错误，我就是卡在这里，我恢复的路径不存在。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

KnowledgeAndWistom

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

三十、Lunix恢复已rm文件+已删除但未释放空间（XFS+ext文件系统+lsof）

作者的博客园已搬家到优快云，访问博客园主页将默认跳转至优快云

03-14

931

通过**rm -f**命令删除的文件恢复： 1、lsof恢复：通过未结束的进程来恢复被删除的文件（任何类型文件系统） 2、`xfsdump`工具仅可以恢复`xfs`类型的文件，无法恢复`ext`类型的文件； 3、`extundelete`工具仅可以恢复`EXT`类型的文件，无法恢复`xfs`类型的文件；

rm -rf的惨痛教训之误删bin文件夹

beckham999221的专栏

05-31

3320

linux系统不像windows，没有回收站，删了就是删了，永远也找不回来了（也不绝对，小伙伴会argue我可以通过lsof或者extundelete，但毕竟没那么直接，有时真的是恢复不了）。这两天在真机调试代码，手欠写了一个包含rm -rf的脚本，还sudo运行。等反应过来，ls、cp、mv等常见命令都消失了，查看记录，我艹，bin目录被我给删了，删除操作到了boot因为设备繁忙暂停了，否则整个...

参与评论您还未登录，请先登录后发表或查看评论

使用lsof恢复rm -rf删除后的文件

weixin_34228662的博客

06-14

300

在Linux系统中使用rm -rf删除文件后，其实文件只是从磁盘中移除，文件内容还是在系统后台等待回收，此时可以使用系统进程号将文件考贝出来，内容不会有更改。1.删除一个文件[root@iZ62f427er8Z logs]# ll access.log -rw-r--r-- 1 root root 11723908 Jun 14 16:02 access.log[root@iZ62f42...

使用`lsof`命令找回被`rm`删除的文件

喝醉酒的小白

09-08

752

需要注意的是，这种方法仅适用于文件被删除后仍被某个进程占用的情况。如果文件没有被任何进程占用，或者进程已经关闭，那么这种方法将无法恢复文件。命令来查找所有已删除但仍被进程占用的文件。这样可以列出所有符合条件的文件及其相关信息，包括进程ID（PID）、用户、文件描述符等。删除的文件的步骤包括查找已删除的文件、确认特定文件、恢复文件和验证恢复的文件。恢复文件后，可以通过查看文件内容或使用相关命令来验证文件是否完整和正确。来查找特定文件的相关信息。如果你知道被删除文件的名称，可以使用。

lsof恢复被rm -rf命令删除的文件

qq_38891116的博客

11-16

573

centos默认是没有lsof yum install lsof 比如不小心删掉了mysqld.log的这个日志文件(测试之前,建议备份) rm -rf /var/log/mysqld.log 这里已经找不到了然后输入命令查看 lsof |grep /var/log/mysqld.log 发现这里文件状态deleted,并且操作进程号为13177 进入13177进程下操作的文件...

linux教程：使用lsof命令恢复删除的文件

学亮编程手记

08-20

1404

删掉文件其实只是将指向数据块的索引点(information nodes)释放，只要不被覆盖，数据其实还在硬盘上，关键在于找出索引点，然后将其所指数据块内的数据抓出，再保存到另外的分区。在用rm误删除文件后，我们要做的第一件事就是保证不再向误删文件的分区写数据。

rm -rf 误删除数据如何进行恢复

2401_85111748的博客

05-28

1910

lr-x------ 1 root root 64 3月 2 22:14 3 -> /test/test.txt (deleted)lrwx------ 1 root root 64 3月 2 22:14 0 -> /dev/pts/0。lrwx------ 1 root root 64 3月 2 22:14 1 -> /dev/pts/0。lrwx------ 1 root root 64 3月 2 22:14 2 -> /dev/pts/0。

linux上恢复误删（使用rm-rf命令）的文件或目录

热门推荐

echo

09-16

5万+

Linux不像windows有那么显眼的回收站，不是简单的还原就可以了。linux删除文件还原可以分为两种情况，一种是删除以后在进程存在删除信息，一种是删除以后进程都找不到，只有借助于工具还原，这里分别检查介绍下。一、误删除文件进程还在的情况。这种一般是有活动的进程存在持续标准输入或输出，到时文件被删除后，进程PID还是存在。这也就是有些服务器删除一些文件但是磁盘不释放的原因。比如当前举例说明：通过一个shell终端对一个测试文件做cat追加操作： [root@21yunwei_backup ~

不小心执行 rm -f，该如何恢复？

01-20

本文将详细探讨如何在误执行`rm -f`后恢复文件。 ### 模拟场景分析假设我们误删除了服务器目录`/root/selenium/Spider`下的`MySql.Data.dll`文件。首先，我们需要检查是否还有进程正在使用这个文件，因为只要文件...

【Linux】使用lsof命令恢复删除的文件

科技改变人类，技术成就未来

09-03

1776

在 Linux 系统上，有时会意外删除仍在使用的文件。虽然文件被删除，但如果有进程仍然打开该文件，文件数据仍然存在于磁盘上。使用 lsof 命令，我们可以找到这些进程并恢复被删除的文件。本文将详细介绍如何使用 lsof 命令恢复文件。

Linux 下利用“Lsof”恢复误删文件

weixin_33937778的博客

01-29

166

原理：在linux系统的/proc分区下保存着进程的名字和目录，包含fd(文件描述符)和其下的子目录（进程打开文件的链接），那么如果进程正在调用文件，删除了一个文件，还存在一个inode的引用:/proc/进程号/fd/文件描述符；我们只要知道当前打开文件的进程pid和文件描述符fd就能利用lsof工具列出进程打开的文件。一、将 ls 的手册...

前端模拟终端（五）：看谁用了 rm -rf / 之历史记录

ZhangK9509的博客

02-17

718

IOTerm 的历史记录功能完全模仿真是终端，需要具备一下特性：上下键选择历史记录。若修改了某条历史记录但未按回车键，则该条历史记录被修改，知道在该条历史记录处按下回车。修改某条历史记录且按回车键后，产生新的历史记录，而不改变原本的历史记录。空行回车不被保存在历史记录中。为了实现以上功能，设历史记录数据结构： interface historyItem { value: st...

Linux 通过lsof恢复目录（紧急恢复误删目录）

qq_39746321的博客

03-07

1118

linux rm 磁盘空间,Linux 利用lsof命令查找已经删除的文件来释放磁盘空间-rm文件...

weixin_39692254的博客

05-03

235

测试环境一台服务器/ 根目录空间使用率达到94%，但是通过du -sh * 发现实际空间没没用用到那么多，初步怀疑，之前删除的文件，有运行中的进程一直占用，导致空间没有释放，如图通过du -sh * 发现共实际使用不到10G 空间，而通过df-h 发现已经使用了44G接着我们通过lsof 命令查找运行中的进程占用已经删除的文件，使用命令lsof |grep delete | sort -nrk...

linux lsof 命令恢复被误删的文件

Jaemon

02-13

579

linux lsof 命令恢复被误删的文件

如何使用lsof命令恢复删除的文件

cxs_123的博客

11-22

1176

sdwed

使用lsof恢复数据

qq_43239393的博客

07-10

1249

lsof使用

linux lsof命令详解

weixin_34161064的博客

01-08

1042

简介 lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应...

shell脚本中执行rm -rf命令

最新发布

08-29

<think> 首先，用户的问题是：“我想了解在shell脚本中执行rm -rf命令的相关内容，如使用方法、注意事项等请问shell脚本中执行rm -rf命令的方法和注意事项”。基于系统级指令，我需要用中文回答，结构清晰，帮助用户逐步解决问题。关键点： - **回答结构清晰**：逐步解释使用方法、注意事项等。 - **使用中文**。 - **数学表达式**：用户的问题没有涉及数学，所以我只需要注意文本格式。 - **生成相关问题**：在回答结束时，添加相关问题。 - **引用标识**：在引用的段落末尾自然地添加引用标识，如[^1]。用户提供了引用[1]到[5]，我应该参考这些来增强回答的可靠性。用户提供的引用： - **[^1]**: 警告谨慎使用rm -rf，因为它递归删除文件和目录，无需确认，无法撤销。建议备份数据。 - **[^2]**: 删除目录时，如果有进程在写入数据，需要先停止进程，否则删除可能失败。 - **[^3]**: Shell脚本中使用rm时，未声明或未赋值的变量可能导致rm参数为空，造成严重后果（如删除根目录）。 - **[^4]**: Linux删除文件的原理：与Windows不同，Linux允许rm即使文件被使用也能删除。 - **[^5]**: 提到crontab配置，但似乎不直接相关；可能暗示定时任务中使用rm，需要小心。用户上一次的问题：这是新的对话，没有之前的上下文。系统指令说“尽可能多的参考用户上一次的问题和你的回答”，但这是第一个用户消息，所以没有上一次问题。只需基于当前内容回答。回答结构： 1. **介绍**：简要解释rm -rf命令的作用和在脚本中使用的重要性。 2. **使用方法**：如何在shell脚本中正确执行rm -rf命令。 3. **注意事项**：详细列出注意事项，基于引用。 4. **总结**：强调谨慎使用。 5. **相关问题**：生成相关问题。注意事项需要覆盖引用中的要点： - 谨慎使用，因为不可撤销。 - 备份重要数据。 - 确保没有进程在使用目录或文件。 - 避免变量未定义，可能导致意外删除。 - Linux删除原理：允许删除被使用的文件。使用方法： - 基本语法：rm -rf <directory_or_file> - 在脚本中，确保路径正确，添加检查。最终回答： - 用中文。 - 结构清晰：分点列出。 - 自然地添加引用标识：例如，在提到某个点时添加[^1]等。 - 生成相关问题。相关问题生成： - 基于主题，如如何避免风险、替代方法、实际示例等。 - 示例：1. 如何安全地在脚本中使用rm -rf？2. 处理删除失败的情况？3. 备份策略在脚本中的实现？等。 </think> ### Shell脚本中执行rm -rf命令的方法和注意事项在Shell脚本中使用`rm -rf`命令可以高效删除文件或目录，但因其强大的破坏性，必须谨慎操作。以下将逐步解释其使用方法、关键注意事项，并基于参考引用提供可靠建议。`rm -rf`命令会递归删除指定路径下的所有内容（包括子目录和文件），且无需用户确认，操作一旦执行无法撤销[^1]。 #### 使用方法在Shell脚本中执行`rm -rf`的基本语法如下： ```bash #!/bin/bash # 示例脚本：删除指定目录或文件 target_path="/path/to/directory_or_file" # 替换为实际路径 rm -rf "$target_path" ``` - **基本步骤**： 1. **定义目标路径**：始终使用变量存储路径，避免硬编码，例如`target_path="/tmp/old_files"`。 2. **添加前置检查**：在执行删除前，建议验证路径存在且有效，以防止误删。例如： ```bash if [ -d "$target_path" ]; then rm -rf "$target_path" echo "删除成功: $target_path" else echo "路径不存在或无效，跳过删除" fi ``` 3. **处理错误**：使用`||`操作符捕获错误，例如`rm -rf "$target_path" || echo "删除失败，请检查日志"`。 4. **日志记录**：在脚本中添加日志输出，便于调试，例如`rm -rf "$target_path" >> delete.log 2>&1`。在定时任务（如crontab）中使用时，确保路径正确，避免因环境变量问题导致误操作[^5]。例如，在crontab中指定完整路径： ``` */5 * * * * root /bin/bash /path/to/script.sh ``` #### 注意事项基于参考引用，以下是关键注意事项，强烈建议在脚本中遵循： 1. **谨慎操作，避免误删**：`rm -rf`命令一旦执行，无法撤销。例如，`rm -rf /`会删除根目录，导致系统崩溃[^1][^3]。务必在脚本中添加多重校验，如确认路径非关键系统目录： ```bash if [[ "$target_path" != "/" && "$target_path" != "*" ]]; then rm -rf "$target_path" fi ``` 2. **处理进程冲突**：如果目标目录被其他进程读写（如文件上传或数据库操作），删除可能失败或损坏数据。应先停止相关进程再删除[^2]。示例脚本： ```bash # 停止使用目录的进程（例如基于lsof检测） pids=$(lsof +D "$target_path" | awk '{print $2}' | uniq) if [ -n "$pids" ]; then kill -9 $pids # 强制停止进程 sleep 2 # 等待进程结束 fi rm -rf "$target_path" ``` 3. **防范变量未定义风险**：在脚本中，未声明或未赋值的变量会默认为空，导致`rm -rf`参数为空（等价于`rm -rf /`）。必须初始化变量并添加默认值[^3]： ```bash target_path="${TARGET_PATH:-/default/backup}" # 设置默认路径 if [ -z "$target_path" ]; then echo "错误：路径未定义，退出脚本" exit 1 fi rm -rf "$target_path" ``` 4. **备份重要数据**：执行删除前，强制备份关键文件。例如，使用`cp`或`tar`创建备份[^1]： ```bash backup_dir="/backup/$(date +%Y%m%d)" mkdir -p "$backup_dir" cp -r "$target_path" "$backup_dir" || exit 1 # 备份失败则退出 rm -rf "$target_path" ``` 5. **理解Linux删除原理**：与Windows不同，Linux允许删除被进程打开的文件（inode会被释放，但进程可能出错）。脚本中应避免删除正在使用的文件，优先使用`fuser`或`lsof`工具检测[^4]。 6. **测试脚本**：在正式环境运行前，在沙盒环境测试脚本，使用`echo`模拟删除命令，例如`echo "模拟删除: rm -rf $target_path"`。 #### 总结在Shell脚本中使用`rm -rf`时，核心是**安全第一**：通过路径校验、变量管理、进程处理和备份机制来降低风险。正确使用可提升自动化效率，但疏忽可能导致灾难性后果[^1][^3]。建议结合日志监控工具（如syslog）来跟踪删除操作。