使用debugfs恢复 Ext3文件系统`rm -rf /`误删除丢失的数据

最新推荐文章于 2022-10-22 08:08:32 发布
最新推荐文章于 2022-10-22 08:08:32 发布
阅读量328 收藏
点赞数
文章标签: 运维
本文介绍了一次在Linux环境下因误用rm命令导致的数据丢失事故及其恢复过程。通过使用debugfs等工具,详细记录了从发现问题到成功恢复数据的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

From: http://hi.baidu.com/higkoo/blog/item/3b9b0709e3368ac53bc763df.html

最近项目紧,没多少时间写博客,只能长话短说了。这是一个由

rm -rf ./

rm -rf /

引发的故事。

一位同事在维护测试环境的时候不小心引发了上面的故事。可怜的是故事是由我来收场……

之前只是听运维的同事说以前遇到过这事,没想到这次撞到我头上了

首先想到的是进WinPE 用数据恢复工具找回数据,但试了几个,都是把数据恢复到另一个地方,而且保存方式是NTFS/FAT 格式的。这一来,Linux系统的文件权限丢了不说,服务器硬盘那么大,备份和还原一遍也不简单啊。

然后就开始尝试在Linux下恢复数据了,服务器硬盘真好,都可以热插拨。啥时候我的工作机也这么高档多好啊。没多想就把丢数据的硬盘挂到其它的服务器上了。

刚搜到debugfs 的时候,觉得很繁琐。听同事说用unrm ,试了几下,发现unrm 只支持ext2 文件系统,这也太老旧了吧。

然后找到了google的ext3grep ,操作时候是挺容易的。丢数据的这台服务器不是我安装的,分区使用了LVM ,根分区留了很大空间,另外分了个/var和/usr。大部分数据都在根分区下。用ext3grep很快恢复了小分区/var的数据,在/usr分区恢复的中途居然报错了。根分区压根就不能恢复,刚恢复就抛异常给我看

最后还是决定用debugfs ,毕竟是操作自带的,其它工具很多也是基于其上。

当然,最终结果是恢复成功了。把过程记录下来:

[higkoo@TestServer data]# debugfs /dev/sdb3
debugfs 1.39 (29-May-2006)
debugfs: lsdel
Inode Owner Mode Size Blocks Time deleted
4386690 0 120777 3 1/ 1 Thu Dec 10 14:30:08 2009
4386625 0 40755 4096 1/ 1 Thu Dec 10 14:34:18 2009
4386656 0 100755 801504 197/ 197 Thu Dec 10 14:34:18 2009
10573730 500 100600 23 1/ 1 Thu Dec 10 14:34:18 2009
4 deleted inodes found.

debugfs: stat <4386690>
Inode: 4386690 Type: symlink Mode: 0777 Flags: 0x0 Generation: 1633477069
User: 0 Group: 0 Size: 3
File ACL: 13501458 Directory ACL: 0
Links: 0 Blockcount: 0
Fragment: Address: 0 Number: 0 Size: 0
ctime: 0x4b209570 -- Thu Dec 10 14:30:08 2009
atime: 0x4b06680d -- Fri Nov 20 17:57:33 2009
mtime: 0x49a3f3d0 -- Tue Feb 24 21:19:12 2009
dtime: 0x4b209570 -- Thu Dec 10 14:30:08 2009
BLOCKS:
(0):7496052
TOTAL: 1

debugfs: mi <4386625>
Mode [040755]
User ID [0]
Group ID [0]
Size [4096]
Creation time [1260426608]
Modification time [1260426608]
Access time [1260426608]
Deletion time [1260426858] 0
Link count [0] 1
Block count [16]
File flags [0x0]
Generation [0x615cdd53]
File acl [0]
Directory acl [0]
Fragment address [0]
Fragment number [0]
Fragment size [0]
Direct Block #0 [4407296]
Direct Block #1 [0]
Direct Block #2 [0]
Direct Block #3 [0]
Direct Block #4 [0]
Direct Block #5 [0]
Direct Block #6 [0]
Direct Block #7 [0]
Direct Block #8 [0]
Direct Block #9 [0]
Direct Block #10 [0]
Direct Block #11 [0]
Indirect Block [0]
Double Indirect Block [0]
Triple Indirect Block [0]

[root@pSrv6 data]# fsck /dev/sdb3
fsck 1.39 (29-May-2006)
e2fsck 1.39 (29-May-2006)
/ contains a file system with errors, check forced.
Pass 1: Checking inodes, blocks, and sizes
Inode 4386625, i_blocks is 16, should be 8. Fix<y>? yes

Inode 4386690, i_blocks is 0, should be 8. Fix<y>? yes

Inode 4386656, i_blocks is 1584, should be 1576. Fix<y>? yes

Deleted inode 10573729 has zero dtime. Fix<y>? yes

Inode 10573730, i_blocks is 16, should be 8. Fix<y>? yes

Extended attribute block 13501458 has reference count 107, should be 108. Fix<y>? yes

Pass 2: Checking directory structure

Pass 3: Checking directory connectivity
Unconnected directory inode 4386625 (/???)
Connect to /lost+found<y>? yes

Pass 4: Checking reference counts
Inode 2 ref count is 26, should be 27. Fix<y>? yes

Unattached inode 4386656
Connect to /lost+found<y>? yes

Inode 4386656 ref count is 2, should be 1. Fix<y>? yes

Unattached inode 4386690
Connect to /lost+found<y>? yes

Inode 4386690 ref count is 2, should be 1. Fix<y>? yes

Unattached inode 10573730
Connect to /lost+found<y>? yes

Inode 10573730 ref count is 2, should be 1. Fix<y>? yes

Pass 5: Checking group summary information
yBlock bitmap differences: +4407296 +(4416420--4416616) +10592260
Fix<y>? yes

Free blocks count wrong for group #134 (1880, counted=1682).
Fix<y>? yes

Free blocks count wrong for group #323 (31742, counted=31741).
Fix<y>? yes

Free blocks count wrong (9979230, counted=9979031).
Fix<y>? yes

Inode bitmap differences: +4386625 +4386656 +4386690 +10573730
Fix<y>? yes

Free inodes count wrong for group #134 (32736, counted=32733).
Fix<y>? yes

Directories count wrong for group #134 (0, counted=1).
Fix<y>? yes

Free inodes count wrong for group #323 (32735, counted=32734).
Fix<y>? yes

Free inodes count wrong (24226297, counted=24226293).
Fix<y>? yes


/: ***** FILE SYSTEM WAS MODIFIED *****
/: 63819/24290112 files (5.2% non-contiguous), 14307232/24286263 blocks

搞定,呵呵!

没时间多说,留个思路以备忘……

iteye_11539
关注
三十、Lunix恢复已rm文件+已删除但未释放空间(XFS+ext文件系统+lsof)
作者的博客园已搬家到优快云,访问博客园主页将默认跳转至优快云
03-14 867
通过**rm -f**命令删除的文件恢复: 1、lsof恢复:通过未结束的进程来恢复被删除的文件(任何类型文件系统) 2、`xfsdump`工具仅可以恢复`xfs`类型的文件,无法恢复`ext`类型的文件; 3`extundelete`工具仅可以恢复`EXT`类型的文件,无法恢复`xfs`类型的文件;
extundelete工具恢复rm -rf 删除的目录(ext4、ext3)
coco3600的博客
08-30 1万+
extundelete工具恢复rm -rf 删除的目录(ext4) ext3grep工具只能用于恢复ext3文件系统下删除的文件,对于ext4文件系统,可以使用extundelete工具。使用的方法类似ext3grep...
debugfsext3文件系统恢复删除的文件的一次尝试
杰瑞的专栏
08-07 1992
大家都知道Linux中,删除了的文件想恢复很难!而且不同文件系统恢复的命令和工具可能还不一样。下面说下用debugfs,Linux中自带的命令,在ext3文件系统恢复被删除文件的一次尝试.      [root]# mkdir /root/test                 //-->建测试文件夹 [root]# cd /root/test
Linux ext3文件系统中通过debugfs恢复rm掉的文件
良玉的博客
11-25 3327
下面是这个教程将教你如何在Ext3文件系统恢复被rm掉的文件。 假设我们有一个文件名叫 ‘test.txt’ $ls -il test.txt15 -rw-rw-r– 2 root root 20 Apr 17 12:08 test.txt 注意:: “-il” 选项表示显示文件的i-node号(15),如果你不知道Unix/Linux文件系统的“I结点”的话,你有必要先补充一下相关的知
linux debugfs根目录,在linux 根目录rm * -rf以后怎么办?
weixin_39949386的博客
04-30 118
首先,这是一个非常危险的操作,执行后Linux基本报废。如下图所示,把rm命令都删除了。我是在虚拟机中做的实验,真实机一定不要执行此操作。其次,在根目录执行rm * -rf的命令对Linux系统来说是毁灭性的。如果日常工作中,删除了某个文件,可以通过下面的方法找回。以下方法不适用你问题中的情况。只是做为扩展。1. lsof文件刚刚被删除,想要恢复,先尝试lsof.#lsof |grep data....
LINUX使用rm误删文件后恢复
weixin_45548465的博客
09-01 2万+
rm -rf恢复数据
linux恢复 rm -rf * 误删数据
hanruiding的博客
03-27 5357
linux恢复 rm -rf * 误删数据一、磁盘分区挂载为只读1、查看被删除文件位于哪个分区2、将对应目录重新挂载为只读二、安装数据恢复工具 extundelete1、下载extundelete-0.2.42、安装三、恢复1、模拟删除文件,设置只读2、查看被删除的文件3恢复4、重新挂载分区为读写 linux误删除文件后应尽快将磁盘挂载为只读,否则后续操作可能会覆盖这些数据,越早发现,并挂载为只...
linux xfs文件恢复,Linux 文件恢复(XFS & EXT4)
weixin_29367131的博客
04-30 1285
在Linux中,删除rm命令使用需谨慎,有时候可能由于误操作,导致重要文件删除了,这时不要太紧张,操作得当的话,还是可以恢复的。EXT 类型文件恢复#删除一个文件,实际上并不清除inode节点和block的数据,只是在这个文件的父目录里面的block中,删除这个文件的名字。Linux是通过Link的数量来控制文件删除的,只有当一个文件不存在任何Link的时候,这个文件才会被删除。当然,这里所指的是...
怎么撤回rm -rf 删除的文件夹
最新发布
05-31
需要注意的是,`debugfs`恢复效果可能有限,尤其是在文件系统ext3 或更高版本时[^1]。 #### 4. 使用 `foremost` 进行数据恢复 `foremost` 是一种基于文件头、尾和内部结构的数据恢复工具,适用于多种文件类型...
逻辑卷管理基础知识(LVM)
01-29
文档中包含在Linux系统中创建逻辑卷管理(LVM)相关的命令和逻辑卷基础知识。
linux rescue模式fsck修复根文件系统
飞哥在线
06-16 1万+
近日,一生产系统oracle服务器不知何原因,一天晚上负载异常高,最后的top记录显示平均负载500多,当晚就发现oracle挂了,因为之前实施部署的时候没有做规划,直接把oracle数据也都丢在了/根文件系统中,天有不测风云,这天晚上/文件系统出现了损坏,进入了file system read-only状态,所有操作都做不了了。因为是根文件系统,随后,只能考虑重启看看是否有逻辑损坏,结果
linux的设备文件被误删,Linux下修复被误删的文件
weixin_36036029的博客
04-30 286
参考网上关于 "debugfs 恢复被误删的文件" 相关文章,自己试了一下,走了点弯路,现在把用过的正确的步骤贴出来,希望能方便大家方法1:以/dev/sdc盘的 a.txt文件为例一:使用mount –r –o remount /dev/sdc1 将该分区重新以只读的方式重新挂载二:使用debugfs /dev/sdc1三 :使用lsdel命令可以列出很多被删除的文件的信息:debugfs...
最近linux工作站闹“机瘟”,故障处理过程
weixin_34166472的博客
08-05 343
一台服务器重启后smtp报警,dmesg查看有以下信息,EXT3-fserror(devicesda6)instart_transaction:JournalhasabortedEXT3-fserror(devicesda6)instart_transaction:JournalhasabortedEXT3-fserror(devices...
linux 的pwd文件被删,恢复被删除的文件-linux篇
weixin_42511491的博客
04-29 502
本文转自IBM中国上的文档[http://www.ibm.com/developerworks/cn/linux/l-cn-filesrc/][http://www.ibm.com/developerworks/cn/linux/l-cn-filesrc2/][http://www.ibm.com/developerworks/cn/linux/l-cn-filesrc3/][http://www...
ubuntu虚拟电脑启动报错/dev/sda1:recovering journal /dev/sda1 contains a file system with errors,check forced
m0_48753362的博客
01-10 4869
ubuntu虚拟机启动故障 今天虚拟电脑跑程序卡死了,关闭虚拟电脑一直转圈,然后我就在外面虚拟机上点了关闭电源,再启动虚拟电脑时,弹出黑窗,提示以下故障 /dev/sda1:recovering journal /dev/sda1 contains a file system with errors,check forced /dev/sda1: Deleted inode 131220 has zero dtime. FIXED /dev/sda1: Inodes that were part of a
linux debugfs根目录,Linux文件误删除debugfs恢复操作
weixin_29310853的博客
04-30 1442
前言作为一个多用户、多任务的操作系统,Linux下的文件一旦被删除,是难以恢复的。尽管删除命令只是在文件节点中作删除标记,并不真正清除文件内容,但是其他用户和一些有写盘动作的进程会很快覆盖这些数据。不过,对于家庭单机使用的Linux,或者误删文件后及时补救,还是可以恢复的一、用运SecureCRT远程对操作系统上,查看一下当前系统版本号,及文件系统格式[root@centos6 ~]# cat /...
在linux下使用debugfs恢复rm删除的文件
热门推荐
zzulp的专栏
04-16 4万+
原理主要是删除的文件并没有实际上从硬盘上摸去,只是inode索引删除了相关的信息,因此只要找到刚删除文件的block上,就可以恢复已经删除的文件。     以下方法在ext3文件系统上测试通过,ext2的没有测试过。假设删除的文件在dir下面,位于/dev/sda5上。     主要借助debugfs     1 运行debugfs,进入调度模式     2 执行open /dev/
Linux CentOS 8(LVM的配置与管理)
正月十六工作室
10-22 3259
Linux CentOS 8(LVM的配置与管理) 目录一、项目介绍二、相关概念2.1 LVM简介2.2 基本术语2.3 LVM创建过程2.4 LVM的特点三、任务操作任务1- 创建LVM任务2- 逻辑卷的扩展、缩减与删除 一、项目介绍 本节将介绍Linux(Centos8)中LVM的配置与管理。 二、相关概念 2.1 LVM简介 LVM是 Logical Volume Manager(逻辑卷管理)的简写,它是Linux环境下对磁盘分区进行管理的一种机制。Linux用户安装Linux操作系统时遇到的.
回退rm -rf删除的文件
05-11
### 如何恢复Linux中使用 `rm -rf` 误删的文件 在 Linux 中,当文件被 `rm -rf` 命令删除时,实际上只是解除了文件名与其 inode 的链接关系。如果没有任何进程继续访问该文件,则数据可能会逐渐被新写入的数据覆盖而永久丢失。因此,在尝试恢复之前,应立即停止对存储设备的所有写操作以防止数据进一步损失。 #### 使用工具进行恢复 以下是几种常见的恢复方法及其适用场景: 1. **利用 `/proc` 文件系统恢复仍在运行进程中打开的文件** 如果目标文件仍然被某些进程占用(即这些进程仍持有对该文件的有效句柄),则可以通过读取 `/proc/[pid]/fd/` 下对应的文件描述符来获取原始内容[^4]。 2. **采用 extundelete 工具恢复已删除文件** 对于基于 Ext3Ext4 文件系统的磁盘分区来说,可以安装并配置 extundelete 软件来进行更深层次的数据检索工作。此过程通常涉及以下几个步骤: - 安装必要的依赖项以及编译环境; - 解压源码包并通过标准 GNU 构建流程完成程序部署; - 执行具体命令扫描指定目录下的历史记录以便定位所需资源[^3]。 ```bash sudo apt-get update && sudo apt-get install bzip2 e2fslibs-dev e2fsprogs gcc g++ wget http://zy-res.oss-cn-hangzhou.aliyuncs.com/server/extundelete-0.2.4.tar.bz2 tar -xvjf extundelete-0.2.4.tar.bz2 cd extundelete-0.2.4/ ./configure && make && sudo make install sudo umount /dev/sdXN # 替换 sdXN 为目标分区名称 sudo extundelete --restore-directory path/to/deleted/files /dev/sdXN ``` 3. **借助 debugfs 实现基础级别的修复尝试** 当其他高级解决方案不可行时,还可以考虑运用内置实用程序如 debugfs 来手动探索超级块中的未分配空间区域寻找残留痕迹[^2]。不过需要注意的是这种方法成功率较低且风险较大,建议仅作为最后手段试用。 4. **针对特定应用层对象实施定制化策略** 特定类型的数据库实例遭遇此类事故后可能需要专门设计应对措施。例如 Oracle 数据库可通过 RMAN 备份机制结合物理镜像重建技术实现最大程度上的业务连续保障;而对于 MySQL 则可依靠 binlog 日志回滚至事故发生前一刻状态等[^5]。 --- ### 注意事项 无论采取哪种方式都需要提前做好充分准备,并严格遵循以下原则以免造成二次损害: - 将受影响卷迅速卸载隔离保护起来; - 遵循只读模式操作所有相关介质直至确认无误为止; - 根据实际情况灵活调整选用方案组合达到最佳效果。 ```python import os os.system(&#39;sudo yum -y install bzip2 e2fsprogs-devel e2fsprogs gcc-c++ make&#39;) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值