Linux下恢复删除的文件
转自:http://github.tiankonguse.com/blog/2015/09/13/linux-remove-recovery/
下午, DBA找我说有些SQL执行了两个小时了,导致主从同步延迟很多.
晚上, 一个同事要走了, 做了一个月的项目要整理一下好交接出去.结果删除没有用的文件时, 路径多了一个空格, 导致整个项目的代码被删除, 坑爹的是他从来没提交过SVN.
奋斗到天亮
对于打点那个项目, 编辑说出问题那一刻, 我就知道是哪里的问题了.
当时那位同事做那块逻辑时, 我给他交代了两个注意点: 1.注意修改时间 2.批量操作时,参考能量瓶打点的批量操作逻辑.
我拉取SVN, 看了看相关代码, 我心里面无话可说, 我交代的注意点他都没有按我说的来做.
不管那么多, 先修复问题再说, 然后找测试, leader, 总监, 运维一层层的审批, 最后发布, 浪费不少精力和时间.
DBA找我得时候, 我猜想是autodata出问题了, 毕竟autodata里面全是各种like, 左值, 子查询等sql语句.
但是我稍微观察了一下, 发现sql来源竟然不是autodata, 于是赶紧查看来源ip, 再查查ip所在机器属于谁负责.
结果发现是搜索小组负责的, 于是拉取那个组的运维, 组长等人.
后来, 问题严重到主从同步延迟两个小时了, 于是搜索小组把相关任务停止, DBA手动杀死相关SQL, 才得到缓解.
后来, 慢慢的恢复正常了.
那位同事误删项目时, 我以为是清除cmake的临时文件时误操作的, 结果是管理项目时误操作导致的.比如有个 bulid 目录, 你想删除 bulid 下的东西, 一般是进入bulid目录, 然后删除即可.
kyyuan@skyyuan-PC3:test $ tree
.
├── bulid
│ └── tml
└── file
1 directory, 2 files
skyyuan@skyyuan-PC3:test $ cd bulid/
skyyuan@skyyuan-PC3:bulid $ rm -rf *
skyyuan@skyyuan-PC3:bulid $ cd ..
skyyuan@skyyuan-PC3:test $ tree
.
├── bulid
└── file
1 directory, 1 file
但是这位同事没有进入到相关目录, 然后通过路径来删除的.
skyyuan@skyyuan-PC3:test $ touch bulid/tmp
skyyuan@skyyuan-PC3:test $ tree
.
├── bulid
│ └── tmp
└── file
1 directory, 2 files
skyyuan@skyyuan-PC3:test $ rm -rf bulid/*
skyyuan@skyyuan-PC3:test $ tree
.
├── bulid
└── file
1 directory, 1 file
那样虽然可以做到删除文件, 但是如果不小心在星号前面多打了一个空格, 后果不堪设想.
skyyuan@skyyuan-PC3:test $ touch bulid/tmp
skyyuan@skyyuan-PC3:test $ tree
.
├── bulid
│ └── tmp
└── file
1 directory, 2 files
skyyuan@skyyuan-PC3:test $ rm -rf bulid/ *
skyyuan@skyyuan-PC3:test $ tree
.
0 directories, 0 files
大概这位同事在管理项目时, 就是类似的发生悲剧的.
不过幸运的是, 这台机器有两个磁盘, 系统在小磁盘上, 数据在大磁盘上.这里可以把大磁盘卸载了, 来慢慢恢复数据.
root@10.123.10.23:[~]: parted --list
Disk /dev/vda: 19.3GB
Number Start End Size Type File system 标志
1 32.3kB 9994MB 9994MB primary ext3 启动
2 9994MB 12.1GB 2147MB primary
3 12.1GB 19.3GB 7181MB primary
Disk /dev/vdb: 195GB
Number Start End Size Type File system 标志
1 32.3kB 195GB 195GB primary ext3
网上搜索linux文件恢复, 搜到的都是foremost, extundelete, scalpel, testdisk, phtorec 等相关教程.
试了之后发现都不理想, 后来加上 ext3 这个关键字, 搜到了 ext3grep 这个工具.
然后下载源码安装.
wget https://ext3grep.googlecode.com/files/ext3grep-0.10.2.tar.gz
tar zxvf ext3grep-0.10.1.tar.gz
cd ext3grep-0.10.1
./configure
make
make install
然后卸载磁盘.
root@10.123.10.23:[/]: df -k
文件系统 1K-块 已用 可用 已用% 挂载点
/dev/vda1 9606084 5634124 3483988 62% /
tmpfs 8085312 880 8084432 1% /dev/shm
/dev/vdb1 187846260 88430136 89874096 50% /data
root@10.123.10.23:[/]: fuser -k /data
root@10.123.10.23:[/]: umount /data
然后扫描磁盘上的所有节点.大概会跑几十分钟吧.
root@10.123.10.23:[/]: ext3grep /dev/vdb1 --ls --inode 2
Running ext3grep version 0.10.2
WARNING: I don't know what EXT3_FEATURE_COMPAT_EXT_ATTR is.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set. This either means that your partition is still mounted, and/or the file system is in an unclean state.
Number of groups: 1456
Loading group metadata... done
Minimum / maximum journal block: 23790082 / 23823397
Loading journal descriptors... sorting... done
...
...
看着节点一个一个的扫描, 心里面逐渐的稳定下来.
突然发现这样一个错误:
WARNING: Failed to open file 'locate_output'. See locate.cc
ERROR: dir_inode_to_block(1589385) returned -1.
ext3grep: init_directories.cc:82: bool init_directories_action(const ext3_dir_entry_2&, const Inode&, bool, bool, bool, bool, bool, bool, Parent*, void*): Assertion .
已放弃
心里面一惊, 赶紧google怎么回事, 在 google group 上发现需要加上 --accept-all
参数.
加上后发现还是存在这样的问题, 有人说先把旧的文件删除, 于是删除重新来, 不报这个错误了.
root@10.123.10.23:[/recovery]: ll
总用量 2808
-rw-r--r-- 1 root root 124904 9月 13 18:08 scan.log
-rw-r--r-- 1 root root 2737031 9月 13 17:27 vdb1.ext3grep.stage1
root@10.123.10.23:[/recovery]: mv vdb1.ext3grep.stage1 vdb1.ext3grep.stage1.bak01
root@10.123.10.23:[/recovery]: ll
总用量 2808
-rw-r--r-- 1 root root 124904 9月 13 18:08 scan.log
-rw-r--r-- 1 root root 2737031 9月 13 17:27 vdb1.ext3grep.stage1.bak01
root@10.123.10.23:[/recovery]: ext3grep /dev/vdb1 --accept-all --ls --inode 2 > scan.log
WARNING: Failed to open file 'locate_output'. See locate.cc
root@10.123.10.23:[/recovery]:
然后一般我们是根据名字来恢复文件的, 所以我们需要先找到我们的文件.
root@10.123.10.23:[/home/skyyuan/test]: ll screenshot_hash.cpp
-rwxr--r-- 1 skyyuan users 730 9月 9 11:01 screenshot_hash.cpp
root@10.123.10.23:[/recovery]: ext3grep /dev/vdb1 --dump-names | grep screenshot_hash.cpp
skyyuan/skyyuan/.vim/view/~=+test=+screenshot_hash.cpp=
skyyuan/test/screenshot_hash.cpp
skyyuan/test/screenshot_hash.cpp~
这个时候我们可以搜索可以恢复的文件路径, 然后恢复之.
root@10.123.10.23:[/recovery]: ext3grep /dev/vdb1 --restore-file skyyuan/test/screenshot_hash.cpp
Running ext3grep version 0.10.2
WARNING: I don't know what EXT3_FEATURE_COMPAT_EXT_ATTR is.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set. This either means that your partition is still mounted, and/or the file system is in an unclean state.
Number of groups: 1456
Minimum / maximum journal block: 23790082 / 23823397
Loading journal descriptors... sorting... done
The oldest inode block that is still in the journal, appears to be from 13246709 = Wed Jun 3 15:38:29 1970
Journal transaction 884563 wraps around, some data blocks might have been lost of this transaction.
Number of descriptors in journal: 31536; min / max sequence numbers: 883887 / 885058
Writing output to directory RESTORED_FILES/
Loading vdb1.ext3grep.stage2.........................................................................................................................................e
Restoring skyyuan/test/screenshot_hash.cpp
root@10.123.10.23:[/recovery]: ll
总用量 16992
drwxr-xr-x 3 root root 4096 9月 13 18:23 RESTORED_FILES
-rw-r--r-- 1 root root 325248 9月 13 18:19 scan.log
-rw-r--r-- 1 root root 2737059 9月 13 18:18 vdb1.ext3grep.stage1
-rw-r--r-- 1 root root 2737031 9月 13 17:27 vdb1.ext3grep.stage1.bak01
-rw-r--r-- 1 root root 11554133 9月 13 18:19 vdb1.ext3grep.stage2
root@10.123.10.23:[/recovery]: ll RESTORED_FILES
总用量 4
drwxr-x--- 3 root root 4096 9月 13 18:23 skyyuan
root@10.123.10.23:[/recovery]: tree RESTORED_FILES/
RESTORED_FILES/
└── skyyuan
└── test
└── screenshot_hash.cpp
2 directories, 1 file
恢复完了, 我们再把磁盘挂上去.
mount /dev/vdb1 /data
最后, 在编译程序, 运行之后发现正常, 什么也不管, 赶紧提交SVN.
尾记
这个周五, 一直忙到半夜2点多才回去, 这些事故与问题实际上和我都没有关系, 但是加入进来学到不少东西.
ext3grep 的源码我已经在我的github上存了一份, 对源码感兴趣的可以来看看.
相关文章
- Linux学习之分区自动挂载与fstab文件修复(九)
- Linux系统下/tmp目录文件重启后自动删除
- linux删除文件未释放空间问题处理
- Linux rm删除大批量文件
- [linux]查找最大的文件
- Linux下用户组、文件权限详解
- linux 从百度网盘下载文件的方法
- 技巧两种:LINUX删除指定后缀文件及PYTHON更改屏幕字色
- linux sed命令使用:删除第一行、前两行,最后一行、最后两行(文件、命令行管道均适用)
- linux sed删除文件最后一行及shell中单引号、双引号的区别
- linux fedora35 zsh & oh-my-zsh 的配置与使用
- Linux堆溢出漏洞利用之unlink
- 成功解决:将后缀.pyx格式文件(linux环境)编译成pyd文件(windows环境下)实现python编程加载或导入
- 本地上传文件至Linux虚拟机报错“复制时发生出错“
- Linux删除以破折号开头的文件Windows在批处理文件来删除隐藏属性
- Hadoop Shell命令(基于linux操作系统上传下载文件到hdfs文件系统基本命令学习)
- 关于linux下自定义的 alias文件和自定义函数库的通用写法(只适合自己的)
- L60.linux命令每日一练 -- 第九章 Linux进程管理命令 -- top和nice
- L33.linux命令每日一练 -- 第五章 Linux信息显示与搜索文件命令 -- du和date
- L32.linux命令每日一练 -- 第五章 Linux信息显示与搜索文件命令 -- dmesg和stat
- Linux下搭建File Browser文件管理系统
- 3种改变Linux中打开文件限制的方法
- linux下使用 du查看某个文件或目录占用磁盘空间的大小
- linux优雅删除大文件——筑梦之路
- linux 删除rm 文件 空间没有释放
- Linux常用文件管理命令
- Linux基础笔记7 | 文件权限操作
- 如何在 Linux 中删除超大的(100-200GB)文件
- linux找出已经删除但磁盘空间未释放的大文件并清空
- Ubuntu 安装Samba(Linux与Windows共享文件)