恢复ECS误删数据的最佳实践

Posted 2020-10-04

1.1 背景知识

Linux删除说明

在 Linux 系统下，通过命令 rm -rf 可以将任何数据直接从硬盘删除，并且没有任何提示，同时 Linux 下也没有与 Windows 下回收站类似的功能，也就意味着，数据在删除后通过常规的手段是无法恢复的，因此使用这个命令要非常慎重。在使用 rm 命令的时候，比较稳妥的方法是：

1）把命令参数放到后面，这样有一个提醒的作用。

2）将要删除的东西通过 mv 命令移动到系统下的 /tmp 目录下，然后写个脚本定期执行清除操作

如上做法可以在一定程度上降低误删除数据的危险性。

其实保证数据安全最好的方法是做好备份，虽然备份不是万能的，但是没有备份是万万不能的。任何数据恢复工具都有一定局限性，都不能保证完整地恢复出所有数据，因此，把备份作为核心，把数据恢复工具作为辅助是运维人员必须坚持的一个准则。

Extundelete工具简介

Extundelete 是基于 linux 的开源数据恢复软件。在使用阿里云的云服务器时，如果您不小心误删除数据，并且 Linux 系统也没有与 Windows 系统下回收站类似的功能，您可以方便快速安装此工具。

在利用 extundelete 恢复文件时并不依赖特定文件格式，首先extundelete会通过文件系统的inode信息（根目录的inode一般为2）来获得当前文件系统下所有文件的信息，包括存在的和已经删除的文件，这些信息包括文件名和inode。然后利用inode信息结合日志去查询该inode所在的block位置，包括直接块，间接块等信息。最后利用dd命令将这些信息备份出来，从而恢复数据文件。该工具最给力的一点就是支持ext3/ext4双格式分区恢复，基于整个磁盘的恢复功能较为强大。

注意：在实际线上恢复过程中，切勿将extundelete安装到你误删的文件所在硬盘，这样会有一定几率将需要恢复的数据彻底覆盖

适用对象

适用于网站访问量小、有少量 ECS 实例或服务器的用户。

本实验使用的软件及版本：

• e2fsprogs-devel  e2fsprogs （相关的依赖库） gcc-c++  make（编译器等）
• Extundelete-0.2.4

说明：extundelete需要libext2fs版本1.39或更高版本来运行，但是对于ext4支持，请确保您有e2fsprogs版本1.41或更新版本（可以通过运行命令“dumpe2fs”并记录其输出的版本）。

说明：以上版本是写文档时的软件版本。您下载的版本可能与此不同。

 

2.2 安装部署extundelete工具

    本小节的主要内容：在Linux环境中，安装部署extundelete工具。

1. 远程登录到本实验提供的Linux操作实验环境。登录时，请使用 我的实验资源 提供的 extundelete数据恢复（Linux）ECS实例的 外网地址，用户 以及 密码。

说明：用户通过本地远程访问Linux操作系统的详细操作步骤，请参考 帮助文档 中 Mac用户 远程访问Linux系统 或 Windows用户 远程访问Linux系统。

 

2. 执行如下命令，查看已下载的extundelete安装包：extundelete-0.2.4.tar.bz2 。

ls

说明：本实验已下载 extundelete安装包，用户可通过如下命令，下载 extundelete安装包。

wget  http://zy-res.oss-cn-hangzhou.aliyuncs.com/server/extundelete-0.2.4.tar.bz2

3. 执行如下命令，安装tundelete的相关依赖和库：

yum -y install  bzip2  e2fsprogs-devel  e2fsprogs  gcc-c++ make

 

   等待1-3分钟，完成相关的依赖和库的安装和编译。

 

4. 执行如下命令，解压extundelete到当前目录下。

tar -xvjf extundelete-0.2.4.tar.bz2

 

5. 执行如下命令，查看解压结果：

ls

 

6. 执行如下命令，进入extundelete-0.2.4的目录中：

cd extundelete-0.2.4

 

7. 执行如下命令，检测系统配置，并生成makefile：

./configure

8. 执行如下命令，编译安装extundelete软件：

make && make install

 

    完成后，通过运行结果可以看到默认文件是安装到usr/locla/bin的路径下。

9. 执行如下命令，进入新增src目录，并查看extundelete可执行文件。

cd src

ls

 

 至此，完成extundelete工具的全部安装部署。

说明：可以通过如下命令，查看 extundelete工具的参数使用说明。具体的参数说明信息，请参考本实验的 常见问题。

extundelete --help

 

 

2.3 模拟数据误删除

    本小节主要内容：挂载一块数据盘，并在数据盘中写入新的数据，并模拟数据删除操作。

 

1. 通过如下步骤，将分配的数据盘挂载到ECS服务器上。

1）执行如下命令，查看分配的数据盘 /dev/vdb：

fdisk -l

2）执行如下命令，对数据盘进行分区：

fdisk /dev/vdb

    在如下的参数配置中，输入如下信息：

•   Command（m for help）输入 n；
•   Command action 输入p；
•   Partition number（1-4，default 1）输入1；
•   First cylinder 和 Last cylinder 处直接输入 回车，使用默认的配置；
•   Command（m for help）输入 w，从而使上面的配置生效。

 

3）执行如下命令，对数据盘进行格式化：

mkfs.ext3 /dev/vdb1

 

 

2. 通过如下步骤，创建文件路径，并挂载磁盘，以及新建实验数据：

1）执行如下命令，创建文件路径：

mkdir /alidata

2）执行如下命令，将文件夹挂载到数据盘上：

mount /dev/vdb1 /alidata

3）执行如下命令，新建一个文件“hello.txt”，写入“Hello Aliyun”信息，并查看数据：

echo "Hello Aliyun">/alidata/hello.txt

 

 

4）执行如下命令，生成hello.txt文件的md5值。主要用于下一小节恢复文件时，进行校验。

md5sum hello.txt

 

3. 通过如下步骤，模拟用户数据误删除操作：

1）执行如下命令，进入/alidata 路径下，并删除hello.txt文件：

cd /alidata

rm -rf hello.txt

 

2）执行如下命令，结束使用分区的进程数：

说明：在真实的工作环境中，若已确认没有资源占用，可跳过此步骤。

fuser -k /alidata

 

 

2.4 恢复误删数据

    本小节主要内容：卸载数据盘，并通过extundelete工具恢复误删除数据。

 

1. 首先，重新登录到ECS服务器。

 

2. 执行如下命令，卸载数据盘。

说明：任何数据恢复工具，在使用前均要将恢复的数据盘卸载，或将挂载数据盘设为只读。这样的做法是防止数据被覆盖。

umount /dev/vdb1

3. 执行如下命令，使用extundelete工具，对整个 /dev/vdb1 分区进行搜索，并查看hello.txt的 Inode number 和 Delete status。

说明：--inode参数值设为 2 ，是对整个分区进行搜索。如果需要进入目录搜索，只需要制定目录 I 节点即可。

extundelete --inode 2 /dev/vdb1

4. 执行如下命令，使用extundelete工具，恢复删除文件：

说明：通过上一步，我们可以看到 hello.txt 的节点值为 12 。--restore-inode 参数值是需要恢复的文件 Inode number 。

extundelete  --restore-inode 12  /dev/vdb1

 

5. 执行如下命令，可以查看到当前目录下，新增一个 RECOVERED_FILES 文件夹，并查看到文件 file.12。

说明：恢复的文件是按照 extundelete 工具的自己的命名规范，进行命名的

ls

ll RECOVERED_FILES/

 

6. 执行如下命令，查看恢复的文件md5值，判断是否恢复原有的文件：

md5sum RECOVERED_FILES/file.12

 

    对比上一小节的hello.txt的md5值，可以看到原文件的md5值和恢复的md5值相同。

说明：实验中生成的md5值可能与图片所示的值不同，请以真实的实验数据为主。

 

3.1 常见问题

1. extundelete的参数（option）和动作（action）说明：

• 参数（option）

--version, -[vV]，显示软件版本号。

--help，显示软件帮助信息。

--superblock，显示超级块信息。

--journal，显示日志信息。

--after dtime，时间参数，表示在某段时间之后被删的文件或目录。

--before dtime，时间参数，表示在某段时间之前被删的文件或目录。

• 动作（action）

--inode ino，显示节点“ino”的信息。

--block blk，显示数据块“blk”的信息。

--restore-inode ino[,ino,...]，恢复命令参数，表示恢复节点“ino”的文件，恢复的文件会自动放在当前目录下的RESTORED_FILES文件夹中，使用节点编号作为扩展名。

--restore-file ‘path‘，恢复命令参数，表示将恢复指定路径的文件，并把恢复的文件放在当前目录下的RECOVERED_FILES目录中。

--restore-files ‘path‘，恢复命令参数，表示将恢复在路径中已列出的所有文件。

--restore-all，恢复命令参数，表示将尝试恢复所有目录和文件。

-j journal，表示从已经命名的文件中读取扩展日志。

-b blocknumber，表示使用之前备份的超级块来打开文件系统，一般用于查看现有超级块是不是当前所要的文件。

-B blocksize，表示使用数据块大小来打开文件系统，一般用于查看已经知道大小的文件。