一、恢复软件安装问题

现网一台SUSE主机,被同事不小心干掉了一个文件。不过在用想通过ext3grep或extundelete这类工具进行恢复时,发现在编译过程中,总是提示“configure: error: Can’t find ext2fs library”。因为在SUSE源里没有e2fsprogs-devel、e2fsprogs-libs包,在通过源码安装e2fsprogs后,发现还是有该问题。而redhat上不存在该问题,redhat可以直接通过下面的命令安装依赖:

1yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel

注:无论ext3grep还是extundelete,都需要依赖和底层文件系统相关的包e2fsprogs e2fsprogs-libs e2fsprogs-devel 。

ext2fs-e2fsprogs
ext2fs-e2fsprogs

二、异机恢复设想与操作

1、异机恢复理论基础

先说下LINUX上的文件删除rm,实际上 rm 文件并未从磁盘上清理,只是将其所在的块(inode)进行了重新标记,标记为可擦除可写。而数据恢复软件就是读取到这些inode,再从而恢复相应的数据(前提是未被其他数据覆写的情况下)。

在LINUX在有一个按数据块进行读取备份的工具dd,既然dd是按数据库读取备份的,那其在他数据盘或分区上还原时,也会把 rm 删除的数据块同样写过去。在另一台可以正常安装恢复软件的主机上,通过相应的恢复软件扫描就可以恢复数据了。

2、磁盘和分区恢复

源主机:SUSE被删除数据主机(/dev/sda6)
目标机:redhat主机(/dev/sda2)

注意,这里有一个要求,目标主机的/sda2空间一定要大于或等于sda6。新老主机上分区格式要一致,要同为ext3 或 ext4

1# 老主机上
2dd if=/dev/sda6 | gzip -9 > /mnt/tmpback.img.gz
3# 新主机上
4mkfs.ext3 /dev/sda2
5zcat /tmp/tmpback.img.gz  | dd of=/dev/sda2
6extundelete  /dev/sda2 --inode 2

上面在备份的时候使用了gzip进行最高级别的压缩,由于 dd和gzip都只能使用单核资源,所以操作会比较慢,如果空间足够,新老主机之间网络传输又快的,可以直接 dd if=/dev/sda6 of=/opt/tmpbackup.dd 不压缩备份,备份出的大小会和原来的磁盘分区大小一样大。

三、恢复命令

1、extundelete恢复

恢复单个文件,会在当前目录下生成一个RECOVERED_FILES目录,里面保存已经恢复的文件:

1extundelete  /dev/sda2 --restore-file passwd
2根据inode进行恢复
3extundelete  /dev/sda2  --restore-inode
4恢复单个目录:
5extundelete  /dev/sda2 --restore-directory  /mongodb
6恢复所有误删文件:
7extundelete  /dev/sda2 --restore-all

extundelete还可以实现恢复某个时间段的数据。可以通过“–after”和“–before”参数实现!

2、ext3grep恢复

1查询需要恢复的数据信息:
2# ext3grep  /mydata/disk1  --ls --inode 2
3恢复单个文件
4# ext3grep  /mydata/disk1  --restore-file  ext3grep.txt
5根据inode恢复
6# ext3grep  /mydata/disk1   --restore-inode 12
7恢复所有文件
8# ext3grep  /mydata/disk1  --restore-all

3、ext3grep与extundelete

extundelete:扫描inode和恢复数据同时进行,因此恢复速度很快。支持单个文件,单个目录和完整磁盘恢复;

ex3grep:只能恢复ex3的数据,不支持目录恢复和时间恢复。

四、dd的备份的好处

dd备份出来再在其他主机上恢复还有一个好处,即使在恢复过程中有不当操作,我们仍保留一份源数据,依然可以通过还原后,再用其他工具扫描。特别需要注意的一点:一但主机发生意外删除的,一定要先将当前分区置为只读,如: mount -o remount,ro /tmp