linux下恢复误删除的文件

在代码更新服务器上写更新脚本，测试的时候脑子一短路，直接｀rm -rf /opt/fabric/*｀，导致/opt/fabric下十几个代码更新脚本被删除，并且都没有备份，重新写这些脚本会要人命的。以前只在windows下恢复过删除的文件，windows下删除文件只是将文件标记为删除，数据所在的磁盘可以被写入，并没有真正的删除数据，所以有很多软件可以恢复删除的windows文件。但在我印象中linux用rm删除是很难恢复的，但是重写的工作量实在太大，于是谷歌了一下，发现了extundelete这个软件，成功恢复了目录。

我的服务器是centos6.5，文件系统是ext4，一但文件被删除，应马上停止所有写文件的进程或服务，最好将文件系统挂载文只读，以免数据文件被破坏无法恢复。开始恢复！

一、将文件系统挂载为只读或杀掉有写入和打开文件的进程

首先看一下根文件系统挂载的位置，因为我只有一块硬盘并且启用了lvm

fdisk -l

[root@localhost tmp]# fdisk -l
Disk /dev/sda: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000e4832
Device Boot Start End Blocks Id System
/dev/sda1 * 1 64 512000 83 Linux
Partition 1 does not end on cylinder boundary.
/dev/sda2 64 2611 20458496 8e Linux LVM
Disk /dev/mapper/VolGroup-lv_root: 18.8 GB, 18798870528 bytes
255 heads, 63 sectors/track, 2285 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

我的sda2是lvm分区，根文件系统是挂在 /dev/mapper/VolGroup-lv_root上，重新mount成只读，使用命令:

mount -o remount,ro /dev/mapper/VolGroup-lv_root

可能会提示：

mount: / is busy

这是因为还有进程在打开根分区的文件或者写根分区造成的，需要关闭所有打开文件的或写的进程或者系统服务,例如：sshd服务关闭后并不会踢掉连接，还要手动kill一下，其它有这种情况有rsyslogd、dhclinet、postfix等。

service  network stop
service rsyslog stop
service sshd stop  && killall sshd
service postfix stop

以home分区为例，可以用下面命令查看打开或写home分区进程的ID：

lsof /home | awk '$4 ~ /[0-9].*w/'

或者：

lsof -F pa /home | awk '/^p/ {pid = substr($0, 2)} /^a.*w/ {print pid}'

查出进程号后kill掉即可，或者用fuser命令直接干掉所有写入操作的进程：

fuser -kuc  /home

如果只要恢复某一分区的数据，可以只将该分区挂载成只读，无需将根文件系统只读，因为我这里因为系统安装时偷懒分区不合理，所以只能将根文件系统只读。

二、安装软件 extundelete

我为省事直接将文件系统挂成读写，来安装extundelete，注意不要写要恢复文件的分区。编译安装很简单了，需要的依赖包: gcc gcc-c++ e2fsprogs-devel
一条命令搞定：

yum install gcc gcc-c++ e2fsprogs-devel

如果不安装e2fsprogs-devel会提示:

configure: error: Can't find ext2fs library

编译安装：

./configure && make && make install

三、恢复文件

1.查看文件或文件夹的inode

我要恢复的文件是/opt/fabric下的所有目录，首先查看一下/opt/fabric文件夹的inode :

ls -i /opt/fabirc

784683 test

2.查询可恢复的数据信息

extundelete /dev/mapper/VolGroup-lv_root --inode 784683

3.用inode恢复文件或文件夹

extundelete /dev/mapper/VolGroup-lv_root --restore-inode 784683

之后输入y，会将恢复成功的文件存储在当前目录下的RECOVERED_FILES中

4.恢复单个文件

extundelete /dev/mapper/volGroup-lv_root --restore-file opt/fabric/update_web.py

5.恢复文件夹

extundelete /dev/mapper/volGroup-lv_root --restore-path /opt/fabric

6.尝试恢复所有删除文件

extundelete /dev/mapper/volGroup-lv_root --restore-all

如果用extundelete恢复不出来，就节哀顺便吧

用debugfs也能恢复，但是比较难玩。testdisk倒是简单，但是恢复时间长，能恢复是数据有限

参考文章：
http://unix.stackexchange.com/questions/42015/mount-is-busy-when-trying-to-mount-as-read-only-so-that-i-can-run-zerofree
http://book.51cto.com/art/201409/452475.htm