CentOS 恢复 rm -rf * 误删数据（转）

一、 将磁盘分区挂载为只读

这一步很重要，并且在误删除文件后应尽快将磁盘挂载为只读。越早进行，恢复的成功机率就越大。

1.  查看被删除文件位于哪个分区

[root@localhost  ~]# mount

/dev/mapper/VolGroup-lv_root on / type ext4(rw)

/dev/mapper/VolGroup-lv_home on /home type ext4(rw)

2.  尝试将对应目录重新挂载为只读

[root@localhost  ~]#  mount
-r -n -o remount /home

mount: /home is busy

3.  如果显示 xxx is busy

[root@localhost  ~ ]# fuser -v -m /data

找出相关进程，kill.

4.  成功将目录挂载为只读

[root@localhost  ~ ] #  mount -r -n -o remount /home

此时在/home目录
touch文件时，会报错：

[root@localhost  ~ ] # touch txt

touch: cannot touch `txt’: Read-only file system

二、 使用数据恢复工具 extundelete

之前尝试了debugfs + dd，未果。

后来安装 extundelete-0.2.4 ，：

1.  下载

(1) 因为sourceforge被墙，服务器上直接wget不成功，所以只能在本地FQ下载，链接如下：

http://superb-dca2.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

(2) 把下载的文件放到服务器

启动本地的nginx，然后在服务器上wget(当然通过其它方法也可以，只要能传到服务器)：

wget http://本机IP/extundelete-0.2.4.tar.bz2

(3) 解压

tar jxf extundelete - 0 . 2 . 4 .tar.bz2

2.  编译

(1) configure

[root@localhost  extundelete-0.2.4]# ./configure

configure时报错，看了下config.log，确定是本机没编译环境 。

yum -y install gcc+
gcc-c++

等待，有一点慢。

安装完成后，再次config，依然报错

Configuring
extundelete 0.2.4

configure: error: Can’t find ext2fs library

这是因为extundelete依赖e2fsprogs。

安装e2fsprogs后再次configure，成功。

[root@localhost  extundelete-0.2.4]# yum install e2fsprogs-devel

[root@localhost  extundelete-0.2.4]# ./configure

Configuring extundelete 0.2.4

Writing generated files
to disk

(2) make & make install

[root@localhost  extundelete-0.2.4]#make & make install

如果没有异常信息，基本说明安装成功.

(3) 可以到src目录验证下.

[root@localhost  extundelete-0.2.4]# cd src

[root@localhost  src]# ./extundelete

No action specified;
implying --superblock.

./extundelete: Missing device name.

Usage: ./extundelete [options] [--] device-file

.............

[root@localhost  src]# ./extundelete -v

extundelete version 0.2.4

libext2fs version 1.41.12

Processor is little
endian.

如上信息，证明安装成功。

下面才真正开始数据恢复。

三、 挂载新硬盘

（如果原服务器磁盘空间够大，可以跳过这一步。）

因为被误删的数据很大（约200G），原服务器所在的物理机上也没有磁盘空间了。因些需要到远程挂载另一台服务器B上的磁盘，B是xen虚出的机器，空间也不够，但所在的物理机上还有磁盘空间，这时需要从宿主机上分空间给B。

1  在xen上挂载一块磁盘给B

因为是图形操作，就不再细说。只需分配足够大的空间就可以了，我当时选的是300G。

2  登录服务器B, 准备挂载新磁盘。

(1) 查看新磁盘是否已挂载

[nmen@dev -ubuntu-server] ls /dev/sd*

/dev/sda  /dev/sda1  /dev/sda2  /dev/sda5  /dev/sda6  /dev/sda7  /dev/sda8  /dev/sdb

/dev/sdb确实已挂载。

此时新盘是未分区，也未格式化，因此需要先进行这两件事。

(2)  分区

下图是hdb的硬盘，sdb的盘也一样的操作。

（本图来自：http://www.shyw.net/bbs/yxt443333-1-1.html)

(3)  格式化

[nmen@dev -ubuntu-server]:~$ sudo mkfs -t ext3 /dev/sdb1

mke2fs 1.41.11 (14-Mar-2010)

Filesystem label=

OS type: Linux

Block size=4096 (log=2)

Fragment size=4096 (log=2)

Stride=0 blocks, Stripe width=0 blocks

22937600 inodes, 91749215 blocks

4587460 blocks (5.00%) reserved for the super
user

First data block=0

Maximum filesystem blocks=4294967296

2800 block groups

32768 blocks per group, 32768 fragments per group

8192 inodes per group

Superblock backups stored
on blocks:

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,

4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968

Writing inode tables: done

Creating journal (32768 blocks): done

Writing superblocks and filesystem accounting information: done

This filesystem will be
automatically checked every 33 mounts or

180 days, whichever comes first.  Use
tune2fs -c or -i to override.

显示以上信息说明已成功格式化。

(4)  设置卷标

sudo e2label /dev/sdb1 /restore

(5)  挂载

[nmen@dev -ubuntu-server]:~$ mkdir /restore

[nmen@dev  - ubuntu - server] : ~ $ mount -vl -t ext3 /dev/sdb1 /restore

至此服务器B上挂载新硬盘结束，现在有足够空间来做存放要恢复的数据了。

四、通过NFS远程挂载

通过网络, 将远程主机B共享的文件系统，挂载到需要做数据恢复的机器A。

1. 服务器B上安装NFS

(1) 安装

B是ubuntu系统，默认没安装nfs.

#  sudo apt-get
install nfs-kernel-server

(2) 配置

修改/etc/exports ， 添加如下语句。

# /etc/exports: the access
control list for filesystems which may be exported

#               to
NFS clients.  See exports(5).

#

# Example for NFSv2 and
NFSv3:

# /srv/homes       hostname1(rw,sync,no_subtree_check)
hostname2(ro,sync,no_subtree_check)

#

# Example for NFSv4:

#
/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)

#
/srv/nfs4/homes  gss/krb5i(rw,sync,no_subtree_check)

#

/restore *(rw,sync,no_root_squash,no_subtree_check)

其中 ：

 /restore                                                                 
-- 需要与客户机共享的目录；

 *                                                                           
-- 表示任何主机均可访问本目录，也可指定IP；

 (w,sync,no_root_squash,no_subtree_check)     
-- 配置客户机的权限；

因为是临时使用，并且是服务器位于内网，所以设置相对随意。

(3) 使配置生效

#  exportfs –rv

#  /etc/init.d/nfs-kernel-server
restart

(4) 验证是否配置成功

显示NFS服务器输出目录列表：

nmen@dev -ubuntu-server: showmount -e

Export list for chinahrd-ubuntu-dev:

/restore *

(5) 防火墙

因为时间紧急，并且是内网，所以临时关闭了B上的防火墙：

sudo ufw disable

可通过以下命令启用防火墙：

sudo ufw enable

2.  服务器A上挂载远程目录

将/restore目录从服务器 B
挂载到 /mnt 上。

mount -t nfs [B的IP]:/restore  /mnt

命令详解如下：

# mount -t nfs [-o
mount-options] server:/directory /mount-point

-o mount-options

指定可以用来挂载 NFS 文件系统的挂载选项。

server:/directory

指定包含共享资源的服务器主机名，以及要挂载的文件或目录的路径。

/mount-point

指定要挂载文件系统的目录。

五、数据恢复

1.   得到删除的大概时间

这一步不是必须，但这个有助于更快的回复想要的数据。

date -d "Fri Apr 15:40:00 2014" +%s

1397202000

1397202000这个时间值，我们后期会用到。

2.  查看被删除文件

# extundelete /dev/sdb1
--inode 2

File
name                                      
| Inode number | Deleted status

.                                                
9

..                                               
11

lost+found                                        24            
Deleted

data                                              82            
Deleted

一个分区挂载到一个目录下时，”根”目录的inode值为一般是2。

状态为deleted的是被删除的文件。

3.  数据恢复

进入刚mount的远程目录/restore；

指定--after "1397202000"， 表示恢复这个时间点之后的文件；

文件默认会被恢复到当前目录下的RECOVERED_FILES目录中。

cd /restore

[root@localhost  restore]#[extundelete的安装路径]./extundelete --restore-all --after "1397202000"/dev/mapper/VolGroup-lv_home

Only show and process
deleted entries if they are deleted on or after 1397202000 and before
9223372036854775807.

NOTICE: Extended
attributes are not restored.

Loading filesystem
metadata ... 6924 groups loaded.

Loading journal
descriptors ... 27149 descriptors loaded.

Searching for recoverable
inodes in directory / ...

696 recoverable inodes
found.

Looking through the
directory structure for deleted files ...

Unable to restore inode
27394319 (VMware/9.50_ps/9.55locate.vmx.lck): Space has been reallocated.

Unable to restore inode
27402241 (VMware/9.35win7/9.35win7.vmx.lck): Space has been reallocated.

Unable to restore inode
27396032 (VMware/9.35win7/9.35win7-Snapshot1.vmsn): No undeleted copies found
in the journal.

Unable to restore inode
27394051 (VMware/9.36win2008/9.36win2008R2.vmx.lck/E00633.lck): Space has been
reallocated.

Unable to restore inode
27394603 (lost+found/E09292.lck): Space has been reallocated.

8 recoverable inodes
still lost.

一般来说，要等很久。。。

cd restore/RECOVERED_FILES$

ls

110_open_dns  111_open_dns_node1  112_DNS_node2  116_svn

删除的文件回来了，至此松一口气。

六、收尾工作

(1) 重新挂载A上的磁盘为可读写：

[root@localhost  src]# mount -o remount, rw /home/

卸载服务器B上的目录。

(2) 开启B的防火墙。

sudo ufw enable

(3) 在A上对rm命令启用别名，防止沉默式删除。

vi /etc/bashrc

source /etc/bashrc

# do not delete / or prompt
if deleting more than 3 files at a time #

alias rm=‘rm -I
--preserve-root‘

# confirmation #

alias mv=‘mv -i‘

alias cp=‘cp -i‘ alias ln=‘ln -i‘

# Parenting changing perms
on / #

alias chown=‘chown --preserve-root‘

alias chmod=‘chmod --preserve-root‘

alias chgrp=‘chgrp --preserve-root‘

(4) 在B上使用Rsync，定期备份A上数据。

参考：http://abloz.com/2013/09/12/linux-rm-rf-file-recovery-record.html

?