在工作中吃衅，我們知道一些操作命令危險性很高，如： rm -rf腾誉，它會造成數據的誤刪除徘层。如果萬一出現這樣情況導致數據誤刪除時，我們應該如何對數據進行恢復呢利职？

刪除數據的兩種場景

通常有兩種數據刪除的場景是你需要清晰了解的趣效。第 1 個是在執(zhí)行 rm -rf 刪除文件時，該文件正在被進程使用猪贪。第 2 個是這個文件并沒有被其他進程所使用跷敬，而被誤刪除。本課時我將圍繞這兩種場景進行講解并演示哮伟。

為什么數據可以恢復

既然我執(zhí)行了 rm -rf 命令干花，不就是刪除文件了嗎妄帘，為什么又可以恢復數據呢楞黄？首先我來為你介紹一下其原由，對于第 1 種進程正在使用文件的場景抡驼，數據可以恢復是由因為 Linux 里鬼廓，每個文件都有 2 個 link 計數器：i_count 和 i_nlink。

i_count 的作用是當一個文件被一個進程引用時致盟，它的數值會加 1碎税，也就是說它記錄的是文件被進程引用的次數。i_nlink 的作用則是記錄文件產生硬鏈接的個數馏锡。Linux 系統(tǒng)只有在兩個數值都清零的時候雷蹂，文件才被系統(tǒng)認為是刪除的。如果我們執(zhí)行了 rm -rf杯道，卻并沒有把 i_count 刪除匪煌，假設此時刪除文件有進程在使用，那么它（i_count）數值不為 0党巾。這個時候就是文件看似被刪除萎庭，但在操作系統(tǒng)還是能便捷的恢復回來。

這就是第 1 種場景刪除數據能夠被找回的原因（由于 i_count 不為 0）齿拂。

第 2 種場景是將沒有被進程使用的文件誤刪除驳规，此時 i_count 和 i_nlink 都為 0。這個時候文件的 inode 連接信息已經被刪除了署海，我們就需要通存放文件的 block 單元吗购，做數據塊的數據找回医男。在系統(tǒng)上我們能看到的文件內容包括：文件名、文件大小捻勉、內容昨登，但實際上它的存儲依賴兩個非常重要的單元，一個是 inode贯底，它用于存放文件的相關元數據丰辣，它的元數據里會有一個類似于索引的值，能夠索引到后面具體存放數據的 block 單元禽捆， block 是一個數據塊笙什，用來實際存放數據。我們在刪除文件時胚想，其實是把 inode 的鏈接刪除了琐凭，但是 block 數據塊，并沒有刪除浊服。

所以這個時候我們依然可以通過分析后端的 block 塊统屈，對文件進行恢復。因為 block 塊保存著真實的數據牙躺，理論上可以作完整的找回數據愁憔，不過有一個風險：如果有進程在不斷往磁盤寫數據時，需要申請新的 block 塊孽拷，如果操作系統(tǒng)分配已刪除文件的 block 塊時吨掌，那么新的寫入數據就會覆蓋 block 原來的數據，這時就會造成數據真正丟失的風險脓恕。

所以膜宋，如果出現這樣場景造成數據誤刪除，需要第一時間 umount 目錄所在的磁盤設備炼幔。如果沒有其他進程在不斷地往同一個磁盤塊（block）里寫數據秋茫，那么你的數據理論上還是在 block 塊里面，依然可以通過相關分析把數據找回乃秀。

這就是我們?yōu)槭裁纯梢栽谶@兩個場景中把數據找回的原因肛著，那么接下來我將講解如何來恢復數據。我會通過兩個案例來進行演示环形。

案例演示

我們先演示第 1 種場景策泣，第 1 種場景是文件在被進程使用過程中被刪除，這種場景該如何去恢復文件呢抬吟？

首先我登錄到測試環(huán)境的機器上萨咕，這里開啟了兩個窗口，第 1 個窗口我登錄到了這臺服務器上火本，cd /test 目錄下危队，echo 一個測試文件（我把它命名為 DeleteFile）聪建，然后把這個內容（"Delete file"）重定向到本地的 deletefile.txt。這個時候我的測試文件就已經生成了茫陆。接下來我要做的是開啟一個進程金麸，讓它實時地使用這個文件。

這里我使用 tail 命令簿盅，持續(xù)地查看并且保持監(jiān)聽并使用這個文件挥下。

接下來在另一個窗口，我同樣到/test 目錄下桨醋，而此時我要執(zhí)行的是 rm -rf ./deletefile.txt棚瘟，這樣就“徹底”把這個文件刪除。接下來我們通過 ls喜最，可以看到本地已經沒有這個文件了偎蘸。

現在我們已經模擬出文件在進程使用過程中被刪除的場景，那么接下來我們來演示恢復該文件瞬内。

首先需要找到是哪個進程在使用這個文件迷雪，我們可以通過 lsof 命令，grep 剛剛刪除的文件名稱（deltefile.txt）虫蝶，會列出當前使用文件的進程章咧。我們會看到tail 命令正在使用，它（進程）的 pid 是 4701秉扑。

接下來我們要根據這條線索去恢復數據慧邮。我們知道該進程會有使用的文件句柄调限，那么我們對該進程的文件句柄目錄進行查找舟陆，cd 到 /proc/{pid}/fd 目錄下（這里 pid 為4701），我們到這個目錄下耻矮，輸入 ls -l 命令秦躯，這個時候我們會看到，使用這個文件（/test/deletefile.txt）并且它的文件句柄為 3裆装。

接下來我們要想辦法把這個文件進行恢復踱承，輸入cp 3 /opt/recovertest/deletefile.txt_bak，這時我就把這 3 個文件做了一個拷貝哨免，實現將數據恢復到 /opt/recovertest/deletefile.txt_bak 文件茎活。

這個時候cd /opt/recovertest/，cat deletefile.txt_bak 看一下里面的內容琢唾，可以發(fā)現這個文件的內容與剛剛生成的的測試文件內容一致载荔，所以剛剛刪除的文件恢復完畢。

接下來我來演示誤刪數據場景2（在沒有進程使用文件的情況下采桃，如何恢復誤刪的文件）懒熙。演示這種場景丘损，保險起見我在本地多掛載了一塊 SDB 的獨立硬盤設備。

這種情況要如何恢復數據呢工扎？我們需要安裝 extundelete 這個工具徘钥。登錄到我的測試機上，在這個演示場景里肢娘，掛載一塊獨立硬盤設備 /dev/sdb 并作數據格式化呈础。完成格式化后。把單獨的 sdb 設備橱健，掛載到 test 目錄下（mount /dev/sdb /test）猪落，接下來在 test 目錄下生成一個內容為“deletetest ”的測試文件file(echo 'deletetest'>file),這個時候本地目錄會生成一個測試的文件：file，再新建一個叫 testdir 的目錄（mkdir /test/testdir）畴博，那么這時本地既有文件又有目錄笨忌，也就是我接下來要演示刪除的這些文件。

我們可以通過 rm -rf ./*俱病，直接把當前目錄下的文件整體刪除官疲。然后我需要恢復這個文件，原理就是：通過分析它的 block 塊亮隙，來恢復 inode 鏈接途凫，要分析并恢復已刪除文件的鏈接，我們要用到一些工具溢吻，這里推薦你使用一個叫 extundelete 的命令维费，它是在 Linux 下基于 ext3\ext4 的文件分析工具，可以對文件系統(tǒng)已刪除的文件進行分析促王，并進行數據恢復犀盟。

在執(zhí)行命令extundelete之前需要先做的是 umount，把我們剛剛誤刪的目錄 umount 掉（umount ?/test -l）蝇狼，避免有新的進程再往磁盤塊里寫數據阅畴，同時也便于執(zhí)行工具進行接下來的分析。

附：extundelete 命令安裝方式：

yum -y install bzip2 e2fsprogs e2fsprogs-devel gcc-c++

wget https://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

tar jxvf extundelete-0.2.4.tar.bz2?

cd extundelete-0.2.4

./configure?

make && make install

安裝好這個工具（extundelete）后迅耘，執(zhí)行：extundelete /dev/sdb --inode 2

我們可以在命令后面加入設備名稱贱枣，然后加入上面的 inode 進行分析。完成之后我們會看到顯示屏幕上已經出現了剛剛刪除的文件颤专、名稱及目錄纽哥，還會看到 inode 號以及當前的狀態(tài)。

我們也可以選擇恢復單獨文件類型文件栖秕，執(zhí)行：extundelete /dev/sdb --restore-file file

加入的選項是 --restore-file春塌，后面加你想恢復的文件名稱。

在執(zhí)行以上恢復操作之前，我先要確保數據恢復的目錄 /opt/recovertest 下摔笤，cd ?/opt/recovertest 目錄下够滑，執(zhí)行想恢復的文件 extundelete /dev/sdb --restore-file file。

執(zhí)行完命令后吕世，會有一個成功的提示彰触。此時在當前目錄的 RECOVERED_FILES 目錄，有對應恢復好的文件命辖，一個是 file况毅，一個是 file.v1（這個為剛恢復的文件），為什么是 file.v1 呢尔艇？因為我在做操作的時候有操作過兩遍尔许，所以它恢復了兩個文件。第 1 個 file 是我之前寫入的內容终娃，第 2 個 file 則是由于我執(zhí)行了第 2 次恢復味廊，恢復的文件雖然也是 file，所以會自動命名成一個新的版本棠耕，叫作 file.v1（這個文件就是我們想要恢復的文件名稱）余佛。

剛剛講到的選項是恢復單個文件，假設我們要恢復所有文件的話窍荧，就把選項改為 --restore-all辉巡，這樣就把分析出來的已刪除文件進行了恢復。如果件蕊退，只想恢復某一個目錄郊楣，就可以把 "all" 改成 directory，然后用 restore-directory 這種方式恢復單個已刪除的文件目錄瓤荔。

以上就是通過 extundelete 作場景 2 恢復演示净蚤。

平時工作中，你還是需要謹慎進行操作系統(tǒng)指令茉贡，以避免產生文件系統(tǒng)誤刪的情況塞栅，畢竟恢復起來對我們的業(yè)務影響，還有數據風險都是存在的腔丧。