一、概述
1.1 背景介绍
rm -rf 大概是 Linux 世界里杀伤力最大的命令,没有之一。手一抖、路径一错、通配符一飘,几个 G 的数据就没了。更要命的是 Linux 默认没有回收站机制,rm 删掉的文件不会像 Windows 那样安静地躺在回收站里等你反悔——它直接就没了。
但“没了”这个说法并不完全准确。从文件系统的底层机制来看,rm 命令做的事情远没有大多数人想象的那么彻底。理解这一点,是文件恢复的理论基础。这篇文章从 Linux 文件删除的底层原理讲起,覆盖三种主流的恢复方法,以及更重要的——怎么从根本上避免这种事故发生。
1.2 技术特点
- 原理驱动:从 inode 和 dentry 层面解释为什么删除的文件有可能恢复
- 场景分级:根据文件系统类型(ext4/XFS/Btrfs)和删除后的状态,选择不同的恢复策略
- 工具链覆盖:从 /proc 文件系统到 extundelete、testdisk,覆盖从简单到复杂的恢复场景
- 预防优先:trash-cli、LVM 快照、3-2-1 备份策略,把事故消灭在发生之前
1.3 适用场景
- 场景一:误删文件但相关进程仍在运行(如删了正在被 Nginx 写入的日志文件)
- 场景二:ext4 文件系统上的文件被删除,需要通过文件系统级工具恢复
- 场景三:不确定文件类型和位置,需要对整个分区进行数据恢复扫描
- 场景四:XFS 文件系统上的文件恢复(比 ext4 难度更大)
1.4 环境要求
| 组件 |
版本要求 |
说明 |
| 操作系统 |
Ubuntu 24.04 LTS / RHEL 9.x |
内核 6.8+ |
| extundelete |
0.2.4+ |
ext3/ext4 文件恢复工具 |
| ext4magic |
0.3.2+ |
ext4 高级恢复工具 |
| testdisk |
7.2+ |
分区和文件恢复 |
| photorec |
7.2+ |
基于文件签名的恢复 |
| trash-cli |
0.23+ |
安全删除替代方案 |
二、文件删除的底层原理
在动手恢复之前,必须先搞清楚 Linux 删除文件到底做了什么。不理解原理,恢复操作就是盲人摸象。
2.1 inode、dentry 和数据块的关系
Linux 文件系统(以 ext4 为例)存储一个文件涉及三个核心概念:
- inode(索引节点):存储文件的元数据——权限、属主、时间戳、数据块指针。每个文件对应一个唯一的 inode 编号
- dentry(目录项):存储文件名到 inode 的映射关系。目录本质上就是一张 dentry 表
- data block(数据块):存储文件的实际内容
三者的关系可以这样理解:
目录 dentry 表 inode 表 数据块
+----------------+ +----------------+ +----------------+
| config.yml → 42|---->| inode #42 |---->| 实际文件内容 |
| app.log → 108 | | size: 4096 | | server: |
| data.db → 256 | | blocks: 1 | | port: 8080 |
+----------------+ | nlink: 1 | +----------------+
+----------------+
2.2 rm 命令到底做了什么
执行 rm 时,内核做了以下操作:
- 删除 dentry:从父目录的目录项表中移除文件名到 inode 的映射
- inode 引用计数减 1(nlink - 1):如果还有硬链接指向这个 inode,文件数据不会被释放
- 检查引用计数:当 nlink 降到 0 且没有进程持有该文件的文件描述符时,内核才会释放 inode 和数据块
关键点在第 3 步:数据块被“释放”不等于数据被“擦除”。释放只是把这些块标记为“可用”,写回 block bitmap。实际的数据内容还躺在磁盘上,直到有新数据写入覆盖这些块。
# 查看文件的 inode 信息
stat /etc/hostname
# 输出示例
File: /etc/hostname
Size: 12 Blocks: 8 IO Block: 4096 regular file
Device: 252,1 Inode: 131073 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-02-06 08:00:00.000000000 +0800
Modify: 2026-01-15 10:30:00.000000000 +0800
Change: 2026-01-15 10:30:00.000000000 +0800
2.3 两个恢复窗口
基于上面的原理,文件删除后存在两个恢复窗口:
窗口一:进程仍持有文件描述符(黄金窗口)
如果有进程还在读写这个文件(比如日志文件被删了但写日志的进程还在跑),文件的 inode 和数据块都不会被释放。这时候通过 /proc/<pid>/fd 可以完整恢复文件内容,成功率 100%。
窗口二:数据块尚未被覆盖(白银窗口)
如果没有进程持有文件描述符,inode 和数据块已经被标记为可用,但只要没有新数据写入覆盖,数据还在磁盘上。这时候需要用 extundelete、testdisk 等工具扫描磁盘来恢复,成功率取决于覆盖程度。
这就是为什么误删文件后第一件事是停止对该分区的一切写入操作。 每多写一个字节,恢复的概率就降低一分。
三、方法一:从 /proc/pid/fd 恢复(黄金窗口)
这是最简单、成功率最高的恢复方法。前提条件是:被删文件仍有进程持有其文件描述符。
3.1 原理说明
Linux 的 /proc/<pid>/fd/ 目录下保存了进程打开的所有文件描述符的符号链接。即使文件已经被 rm 删除(dentry 已移除),只要进程没有关闭这个 FD,内核就不会释放 inode 和数据块。通过 /proc/<pid>/fd/<fd_number> 可以直接访问文件内容。
被删除但仍被进程持有的文件,在 ls -la 输出中会显示 (deleted) 标记:
ls -la /proc/12345/fd/
# ...
lr-x------ 1 root root 64 Feb 6 10:00 5 -> /var/log/app/access.log (deleted)
3.2 实战操作步骤
步骤一:找到持有文件的进程
# 方法 1:用 lsof 查找被删除但仍被打开的文件
lsof +L1 2>/dev/null | grep deleted
# 输出示例
nginx 12345 root 5r REG 252,1 1048576 0 131073 /var/log/app/access.log (deleted)
java 23456 app 8w REG 252,1 5242880 0 262144 /data/app/important.dat (deleted)
# 方法 2:如果知道文件名,直接搜索
lsof 2>/dev/null | grep "access.log"
# 方法 3:搜索特定目录下被删除的文件
find /proc/*/fd -ls 2>/dev/null | grep '(deleted)' | grep '/var/log'
从 lsof 输出中提取关键信息:
- PID:12345(进程 ID)
- FD:5r(文件描述符编号 5,r 表示读模式)
- SIZE:1048576(文件大小,约 1MB)
步骤二:确认文件内容
# 先确认文件内容是否完整(查看前几行)
head -5 /proc/12345/fd/5
# 查看文件大小
stat /proc/12345/fd/5
步骤三:恢复文件
# 直接复制文件内容到新位置
cp /proc/12345/fd/5 /var/log/app/access.log.recovered
# 或者用 cat 重定向(适合大文件,可以看到进度)
cat /proc/12345/fd/5 > /var/log/app/access.log.recovered
# 验证恢复结果
md5sum /proc/12345/fd/5
md5sum /var/log/app/access.log.recovered
# 确认文件大小一致
ls -la /var/log/app/access.log.recovered
步骤四:恢复到原始路径
# 确认原始路径的目录还在
ls -la /var/log/app/
# 移动恢复的文件到原始位置
mv /var/log/app/access.log.recovered /var/log/app/access.log
# 恢复原始权限(根据实际情况调整)
chown root:root /var/log/app/access.log
chmod 644 /var/log/app/access.log
3.3 批量恢复脚本
当误删了一个目录下的多个文件,且多个进程仍持有这些文件时,手动一个个恢复效率太低。下面这个脚本可以批量处理:
#!/bin/bash
# recover_from_proc.sh - 从 /proc/pid/fd 批量恢复被删除的文件
# 用法: ./recover_from_proc.sh <恢复目标目录> [过滤关键词]
RECOVER_DIR="${1:?用法: $0 <恢复目标目录> [过滤关键词]}"
FILTER="${2:-}"
mkdir -p "$RECOVER_DIR"
echo "=== 扫描被删除但仍被进程持有的文件 ==="
lsof +L1 2>/dev/null | grep '(deleted)' | grep "$FILTER" | while read -r line; do
PID=$(echo "$line" | awk '{print $2}')
FD_RAW=$(echo "$line" | awk '{print $4}')
FD_NUM=$(echo "$FD_RAW" | tr -dc '0-9')
FILENAME=$(echo "$line" | awk '{print $NF}')
# 跳过特殊文件
[[ "$FILENAME" == /dev/* ]] && continue
[[ "$FILENAME" == /proc/* ]] && continue
[[ "$FILENAME" == /tmp/.* ]] && continue
BASENAME=$(basename "$FILENAME")
DEST="$RECOVER_DIR/${PID}_${BASENAME}"
if [ -e "/proc/$PID/fd/$FD_NUM" ]; then
echo "[恢复] PID=$PID FD=$FD_NUM -> $DEST"
cp "/proc/$PID/fd/$FD_NUM" "$DEST" 2>/dev/null
if [ $? -eq 0 ]; then
SIZE=$(stat -c%s "$DEST" 2>/dev/null)
echo " 成功: $(numfmt --to=iec-i --suffix=B $SIZE)"
else
echo " 失败: 复制出错"
fi
fi
done
echo "=== 恢复完成,文件保存在 $RECOVER_DIR ==="
ls -lh "$RECOVER_DIR"
3.4 局限性
这个方法虽然简单可靠,但有明确的适用边界:
- 进程必须还在运行:如果进程已经退出或重启,FD 就释放了,这个方法失效
- 只能恢复进程打开的文件:如果文件删除前没有被任何进程打开,/proc 里找不到
- 日志轮转场景:有些日志框架会先 close 再 open 新文件,中间窗口期如果 rm 了旧文件就没法用这个方法
- 容器环境注意:容器内的 /proc 是隔离的,需要在宿主机上通过容器的 PID namespace 找到对应的宿主机 PID
# 容器环境下找到宿主机 PID
# 先找到容器的 PID
docker inspect --format '{{.State.Pid}}' <container_id>
# 或者通过 crictl(containerd 环境)
crictl inspect <container_id> | jq '.info.pid'
四、方法二:extundelete / ext4magic 恢复 ext4 文件系统
当进程已经退出、/proc 里找不到文件句柄时,就需要从文件系统层面动手了。这个方法专门针对 ext3/ext4 文件系统。
4.1 恢复前的关键操作:停止写入
这一步比任何恢复工具都重要。误删文件后,必须立即减少对目标分区的写入操作:
# 第一步:确认被删文件所在的分区
df -h /data/
# 输出示例
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 100G 45G 55G 45% /data
# 第二步:如果条件允许,立即将分区重新挂载为只读
mount -o remount,ro /data
# 如果是根分区无法 remount,至少停掉所有非必要的写入服务
systemctl stop rsyslog
systemctl stop nginx
systemctl stop application.service
如果被删文件在根分区(/),没法直接 remount 为只读,建议用 Live CD/USB 启动系统,然后挂载目标磁盘进行恢复操作。这样可以完全避免对目标分区的写入。
4.2 extundelete 恢复
extundelete 是最经典的 ext3/ext4 文件恢复工具,通过解析 ext 文件系统的 journal(日志)来找回被删除的 inode 信息。这些底层的 技术文档 和源码解析能帮你更透彻地理解恢复机制。
安装
# Ubuntu/Debian
apt install extundelete
# RHEL/CentOS(需要 EPEL 源)
dnf install epel-release
dnf install extundelete
# 从源码编译(如果包管理器里没有)
apt install e2fslibs-dev build-essential
wget https://sourceforge.net/projects/extundelete/files/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar xjf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure && make && make install
恢复操作
# 确保目标分区已卸载或只读挂载
umount /data
# 如果提示 busy,找出占用进程
fuser -mv /data
# 查看可恢复的 inode 列表
extundelete /dev/sda2 --inode 2
# 恢复指定文件(需要知道文件的相对路径)
extundelete /dev/sda2 --restore-file data/app/config.yml
# 恢复指定目录下的所有文件
extundelete /dev/sda2 --restore-directory data/app/
# 恢复所有可恢复的文件(大分区会很慢)
extundelete /dev/sda2 --restore-all
# 按时间范围恢复(恢复指定时间之后删除的文件)
# 时间格式为 Unix 时间戳
extundelete /dev/sda2 --restore-all --after $(date -d '2026-02-06 08:00:00' +%s)
恢复的文件会保存在当前目录下的 RECOVERED_FILES/ 目录中。注意:不要把恢复的文件写到被删文件所在的同一个分区,否则可能覆盖还没恢复的数据。
# 正确做法:在另一个分区上执行恢复
cd /tmp # 确保 /tmp 不在 /dev/sda2 上
extundelete /dev/sda2 --restore-all
ls -la RECOVERED_FILES/
4.3 ext4magic 恢复
ext4magic 是 extundelete 的增强版,对 ext4 文件系统的 extent tree 支持更好,恢复大文件的成功率更高。
安装
# Ubuntu/Debian
apt install ext4magic
# 从源码编译
apt install libext2fs-dev libmagic-dev libbz2-dev zlib1g-dev
git clone https://github.com/ext4magic/ext4magic.git
cd ext4magic && ./configure && make && make install
恢复操作
# 列出指定目录下最近 24 小时内删除的文件
ext4magic /dev/sda2 -f /data/app -l
# 恢复指定目录下最近删除的文件
ext4magic /dev/sda2 -f /data/app -r -d /recovery/
# 按时间范围恢复
# -a: after(起始时间) -b: before(结束时间)
ext4magic /dev/sda2 -f /data/app \
-a $(date -d '2026-02-06 08:00:00' +%s) \
-b $(date -d '2026-02-06 12:00:00' +%s) \
-r -d /recovery/
# 深度恢复模式(-m 参数,扫描 journal 和 block bitmap)
# 当普通模式恢复不了时使用,速度更慢但成功率更高
ext4magic /dev/sda2 -f /data/app -m -d /recovery/
# 恢复所有可恢复的文件
ext4magic /dev/sda2 -M -d /recovery/
4.4 extundelete vs ext4magic 对比
| 特性 |
extundelete |
ext4magic |
| 支持的文件系统 |
ext3/ext4 |
ext3/ext4 |
| extent tree 支持 |
基础 |
完善 |
| 大文件恢复 |
一般 |
较好 |
| 按时间过滤 |
支持 after |
支持 after/before |
| 深度扫描模式 |
无 |
有(-m/-M) |
| journal 解析 |
基础 |
深度 |
| 维护状态 |
停止维护 |
社区维护 |
| 推荐场景 |
小文件快速恢复 |
大文件/复杂场景 |
实际操作中建议两个都试:先用 extundelete 快速扫一遍,恢复不了的再用 ext4magic 的深度模式。
4.5 局限性
- 仅支持 ext3/ext4:XFS、Btrfs、ZFS 等文件系统无法使用
- 依赖 journal:如果文件系统挂载时使用了
data=writeback 模式,journal 中可能没有足够的恢复信息
- 大文件碎片化:如果被删文件的数据块分散在磁盘各处且部分已被覆盖,恢复出来的文件可能不完整
- ext4 的 extent 机制:ext4 删除文件时会清除 inode 中的 extent 信息,这比 ext3 的间接块指针更难恢复
五、方法三:testdisk / photorec 通用数据恢复
当不知道文件系统类型、或者 extundelete/ext4magic 都恢复不了时,testdisk 和 photorec 是最后的手段。它们不依赖特定文件系统的元数据,而是直接扫描磁盘上的数据块。日常的 运维/DevOps/SRE 工作中,掌握这些通用恢复技能往往能在绝境中救回关键数据。
5.1 testdisk:分区和文件恢复
testdisk 主要用于两个场景:恢复丢失的分区表、从损坏的文件系统中复制文件。
安装
# Ubuntu/Debian
apt install testdisk
# RHEL/CentOS
dnf install epel-release
dnf install testdisk
恢复文件操作
# 启动 testdisk(交互式界面)
testdisk /dev/sda
# 操作流程:
# 1. 选择磁盘 -> /dev/sda
# 2. 选择分区表类型 -> [Intel] (通常自动检测)
# 3. 选择 [Advanced]
# 4. 选择目标分区
# 5. 选择 [List] 列出文件
# 6. 找到被删除的文件(红色标记)
# 7. 按 c 复制文件到其他位置
testdisk 的交互界面虽然是字符终端,但操作逻辑很清晰。被删除的文件会用红色高亮显示,选中后按 c 键就能复制到指定目录。
命令行模式(适合脚本化)
# 直接扫描分区并列出可恢复的文件
testdisk /list /dev/sda2
# 将扫描结果输出到日志
testdisk /log /dev/sda2
# 日志保存在 testdisk.log
5.2 photorec:基于文件签名的恢复
photorec 是 testdisk 套件中的另一个工具,采用完全不同的恢复策略:基于文件签名(file carving)。它不依赖文件系统的元数据(inode、目录项),而是直接扫描磁盘上的数据块,通过识别文件头部的 magic number 来找到文件。
这意味着即使文件系统已经严重损坏、inode 全部丢失,只要数据块还在,photorec 就有可能恢复文件。
支持的文件类型
photorec 支持超过 480 种文件格式的签名识别,常见的包括:
| 类别 |
格式 |
| 文档 |
doc/docx, xls/xlsx, pdf, odt |
| 图片 |
jpg, png, gif, bmp, tiff, raw |
| 视频 |
mp4, avi, mkv, mov |
| 音频 |
mp3, flac, wav, ogg |
| 压缩包 |
zip, tar, gz, bz2, 7z |
| 数据库 |
sqlite, mysql frm/ibd |
| 配置 |
xml, json, yaml |
恢复操作
# 交互式模式
photorec /dev/sda2
# 操作流程:
# 1. 选择磁盘和分区
# 2. 选择文件系统类型 [ext2/ext3/ext4] 或 [Other]
# 3. 选择扫描范围 [Free] 只扫描空闲空间 / [Whole] 扫描整个分区
# 4. 选择恢复文件的保存目录(必须在其他分区上)
# 5. 等待扫描完成
# 命令行模式(非交互式)
photorec /d /recovery/output /dev/sda2
# 只恢复特定类型的文件(比如只恢复 jpg 和 pdf)
# 在交互界面中按 s 进入文件类型选择,取消不需要的类型
恢复结果处理
photorec 恢复的文件有一个问题:文件名全部丢失。恢复出来的文件会按照 f0000001.jpg、f0000002.pdf 这样的格式命名,保存在 recup_dir.1/、recup_dir.2/ 等目录中。
# 查看恢复结果
ls -la /recovery/output/recup_dir.*/
# 按文件类型整理
cd /recovery/output
mkdir -p sorted/{images,documents,databases,archives,others}
find . -name "*.jpg" -o -name "*.png" -o -name "*.gif" | \
xargs -I{} mv {} sorted/images/
find . -name "*.pdf" -o -name "*.doc*" -o -name "*.xls*" | \
xargs -I{} mv {} sorted/documents/
find . -name "*.sql" -o -name "*.sqlite" -o -name "*.ibd" | \
xargs -I{} mv {} sorted/databases/
find . -name "*.tar*" -o -name "*.zip" -o -name "*.gz" | \
xargs -I{} mv {} sorted/archives/
# 统计恢复结果
echo "=== 恢复文件统计 ==="
for dir in sorted/*/; do
count=$(find "$dir" -type f | wc -l)
size=$(du -sh "$dir" | awk '{print $1}')
echo "$(basename $dir): $count 个文件, 共 $size"
done
5.3 testdisk vs photorec 选择指南
文件被删除了
|
v
文件系统结构是否完整?
|
+-- 是 --> testdisk(可以保留文件名和目录结构)
|
+-- 否 --> 文件系统是否为 ext4?
|
+-- 是 --> 先试 extundelete/ext4magic,不行再用 photorec
|
+-- 否 --> photorec(文件名会丢失,但支持几乎所有文件系统)
5.4 局限性
- photorec 丢失文件名:恢复出来的文件全部重新编号,需要人工辨认
- 碎片化文件:如果文件的数据块不连续(碎片化严重),photorec 可能只恢复到第一个碎片
- 加密文件系统:LUKS 加密分区上的文件,如果没有解密密钥,任何工具都无法恢复
- SSD TRIM:如果 SSD 启用了 TRIM(现代 Linux 默认启用),被删除文件的数据块可能已经被 SSD 控制器物理擦除,任何软件工具都无法恢复
- 扫描时间长:对大容量磁盘进行全盘扫描可能需要数小时甚至数天
六、XFS 文件系统恢复方案
RHEL/CentOS 7 之后默认文件系统就是 XFS,很多生产环境都在用。但 XFS 的文件恢复比 ext4 难度大得多,因为 XFS 在删除文件时会更彻底地清除 inode 中的元数据信息。
6.1 XFS 恢复的困境
XFS 删除文件时,会将 inode 中的数据块指针(extent 信息)清零。这意味着即使 inode 还在,也无法通过 inode 找到对应的数据块。这是 XFS 和 ext4 在恢复难度上的根本区别。
# 确认文件系统类型
df -Th /data
# Filesystem Type Size Used Avail Use% Mounted on
# /dev/sdb1 xfs 500G 200G 300G 40% /data
# XFS 文件系统信息
xfs_info /data
6.2 XFS 上的可行恢复手段
方法一:/proc/pid/fd(同样适用)
前面讲的 /proc 方法不依赖文件系统类型,XFS 上同样有效。如果进程还持有文件句柄,这是最靠谱的方式。
# 先做一份元数据备份(不包含实际数据,仅用于分析)
xfs_metadump /dev/sdb1 /tmp/sdb1_meta.dump
# 用 photorec 扫描整个分区
# photorec 基于文件签名,不依赖 XFS 的 inode 信息
photorec /dev/sdb1
方法三:xfsdump 历史备份恢复
如果之前配置了 xfsdump 定期备份,可以从备份中恢复:
# 查看可用的 xfsdump 备份
xfsrestore -I
# 从备份中恢复指定文件
xfsrestore -f /backup/xfsdump_level0 -s data/app/config.yml /recovery/
# 交互式恢复(可以浏览备份内容选择性恢复)
xfsrestore -f /backup/xfsdump_level0 -i /recovery/
6.3 XFS 恢复的现实
说实话,XFS 上的文件恢复成功率远低于 ext4。如果没有进程持有文件句柄、也没有 xfsdump 备份,基本只能靠 photorec 碰运气。这也是为什么在 XFS 文件系统上,预防措施比恢复手段重要得多。
七、debugfs 底层恢复操作
debugfs 是 e2fsprogs 套件自带的 ext2/ext3/ext4 文件系统调试工具,可以直接操作文件系统的底层数据结构。在 extundelete 和 ext4magic 都搞不定的时候,debugfs 是手动恢复的最后手段。
7.1 基本用法
# 以只读模式打开文件系统(安全起见)
debugfs -R "ls -d /data/app/" /dev/sda2
# 交互模式
debugfs /dev/sda2
# 常用命令
debugfs: ls -d /data/app/ # 列出目录内容(包括已删除的文件)
debugfs: lsdel # 列出所有已删除的 inode
debugfs: stat <131073> # 查看指定 inode 的详细信息
debugfs: cat <131073> # 查看 inode 对应的文件内容
debugfs: dump <131073> /tmp/recovered_file # 导出文件
debugfs: quit
7.2 实战恢复流程
# 第一步:列出所有已删除的 inode
debugfs -R "lsdel" /dev/sda2 2>/dev/null | head -30
# 输出示例
# Inode Owner Mode Size Blocks Time deleted
# 131073 0 100644 4096 1/1 Thu Feb 6 10:30:00 2026
# 262144 1000 100644 1048576 256/256 Thu Feb 6 10:31:00 2026
# 第二步:根据大小、时间、权限等信息判断哪个是目标文件
# 比如要恢复的文件大小约 1MB,对应 inode 262144
# 第三步:查看 inode 详细信息确认
debugfs -R "stat <262144>" /dev/sda2
# 第四步:导出文件
debugfs -R "dump <262144> /tmp/recovered_file" /dev/sda2
# 第五步:验证恢复结果
file /tmp/recovered_file
ls -la /tmp/recovered_file
7.3 批量恢复脚本
#!/bin/bash
# debugfs_batch_recover.sh - 使用 debugfs 批量恢复已删除文件
# 用法: ./debugfs_batch_recover.sh <设备> <恢复目录> [最小文件大小(字节)]
DEVICE="${1:?用法: $0 <设备> <恢复目录> [最小文件大小]}"
RECOVER_DIR="${2:?请指定恢复目录}"
MIN_SIZE="${3:-1024}"
mkdir -p "$RECOVER_DIR"
echo "=== 扫描 $DEVICE 上已删除的 inode ==="
debugfs -R "lsdel" "$DEVICE" 2>/dev/null | \
awk -v min="$MIN_SIZE" 'NR>1 && $4 >= min {print $1, $4}' | \
while read -r INODE SIZE; do
DEST="$RECOVER_DIR/inode_${INODE}_$(numfmt --to=iec-i $SIZE)"
echo "[恢复] inode=$INODE size=$SIZE -> $DEST"
debugfs -R "dump <$INODE> $DEST" "$DEVICE" 2>/dev/null
# 用 file 命令识别文件类型并添加扩展名
FTYPE=$(file -b --mime-type "$DEST" 2>/dev/null)
case "$FTYPE" in
text/plain) mv "$DEST" "${DEST}.txt" ;;
application/json) mv "$DEST" "${DEST}.json" ;;
application/gzip) mv "$DEST" "${DEST}.gz" ;;
image/jpeg) mv "$DEST" "${DEST}.jpg" ;;
image/png) mv "$DEST" "${DEST}.png" ;;
application/pdf) mv "$DEST" "${DEST}.pdf" ;;
esac
done
echo "=== 恢复完成 ==="
ls -lhS "$RECOVER_DIR" | head -20
7.4 注意事项
- debugfs 默认以读写模式打开文件系统,操作不当可能造成更大的损坏。建议加
-R 参数执行单条命令,或者先对分区做 dd 镜像再操作
lsdel 列出的 inode 可能非常多(尤其是长期运行的系统),需要根据文件大小和删除时间过滤- ext4 删除文件时会清除 extent 信息,debugfs 的
dump 命令可能无法恢复完整内容
八、预防措施:别等出事再后悔
恢复手段再多,也不如一开始就不出事。下面三个预防措施,从轻量到重量级,覆盖不同规模的场景。
8.1 trash-cli:给 rm 加一道保险
trash-cli 实现了 FreeDesktop.org 的 Trash 规范,把 rm 的“直接删除”变成“移到回收站”。
安装和配置
# Ubuntu/Debian
apt install trash-cli
# RHEL/CentOS
dnf install trash-cli
# pip 安装(适合没有系统包的环境)
pip install trash-cli
基本用法
# 删除文件(移到回收站)
trash-put config.yml
trash-put -v *.log # -v 显示详细信息
# 查看回收站内容
trash-list
# 输出示例
# 2026-02-06 10:30:00 /data/app/config.yml
# 2026-02-06 10:31:00 /data/app/access.log
# 恢复文件(交互式选择)
trash-restore
# 清空回收站
trash-empty # 清空所有
trash-empty 30 # 清空 30 天前的文件
用 alias 替代 rm
在 /etc/profile.d/safe-rm.sh 中添加全局配置:
#!/bin/bash
# /etc/profile.d/safe-rm.sh
# 用 trash-put 替代 rm,防止误删
alias rm='trash-put'
# 如果确实需要真正删除,使用 /bin/rm 或 \rm
# 例如: \rm -rf /tmp/cache/
这样所有用户执行 rm 时实际调用的是 trash-put,文件会进入回收站而不是直接删除。需要真正删除时用 \rm 或 /bin/rm 绕过 alias。
服务器环境的注意点
# 回收站默认在 ~/.local/share/Trash/
# 服务器上建议配置定期清理,避免磁盘空间被回收站占满
# crontab 定期清理 7 天前的回收站文件
echo "0 3 * * * trash-empty 7" | crontab -
# 监控回收站大小
du -sh ~/.local/share/Trash/ 2>/dev/null
8.2 文件系统快照:秒级回滚
快照是比回收站更强大的保护机制。它可以在任意时间点创建文件系统的“存档点”,误操作后直接回滚到快照时刻的状态。
LVM 快照
LVM 快照是最通用的方案,不依赖特定文件系统类型。
# 前提:数据分区必须在 LVM 逻辑卷上,且 VG 有剩余空间
# 查看 VG 剩余空间
vgs
# VG #PV #LV #SN Attr VSize VFree
# data 1 1 0 wz--n- 500.00g 100.00g
# 创建快照(分配 10G 空间存储变化的数据块)
lvcreate -L 10G -s -n data_snap /dev/data/lv_data
# 查看快照状态
lvs
# LV VG Attr LSize Origin Snap%
# data_snap data swi-a-s--- 10.00g lv_data 0.00
# 从快照恢复单个文件
mkdir /mnt/snap
mount -o ro /dev/data/data_snap /mnt/snap
cp /mnt/snap/app/config.yml /data/app/config.yml
umount /mnt/snap
# 整卷回滚(危险操作,会丢失快照之后的所有变更)
umount /data
lvconvert --merge /dev/data/data_snap
mount /data
Btrfs 快照
如果文件系统是 Btrfs,快照操作更加轻量:
# 创建只读快照
btrfs subvolume snapshot -r /data /data/.snapshots/$(date +%Y%m%d_%H%M%S)
# 查看快照列表
btrfs subvolume list -s /data
# 从快照恢复文件
cp /data/.snapshots/20260206_100000/app/config.yml /data/app/config.yml
# 自动快照脚本(配合 crontab 每小时执行)
cat > /usr/local/bin/btrfs-auto-snapshot.sh << 'SCRIPT'
#!/bin/bash
SNAP_DIR="/data/.snapshots"
KEEP_HOURS=48
# 创建新快照
btrfs subvolume snapshot -r /data "$SNAP_DIR/$(date +%Y%m%d_%H%M%S)"
# 清理超过保留时间的旧快照
find "$SNAP_DIR" -maxdepth 1 -mindepth 1 -type d -mmin +$((KEEP_HOURS * 60)) | \
while read -r snap; do
btrfs subvolume delete "$snap"
done
SCRIPT
chmod +x /usr/local/bin/btrfs-auto-snapshot.sh
ZFS 快照
ZFS 的快照能力是所有文件系统中最强的:
# 创建快照
zfs snapshot datapool/appdata@before_deploy
# 查看快照列表
zfs list -t snapshot
# 从快照恢复单个文件
# ZFS 快照自动挂载在 .zfs/snapshot/ 目录下
cp /datapool/appdata/.zfs/snapshot/before_deploy/config.yml /datapool/appdata/config.yml
# 整卷回滚
zfs rollback datapool/appdata@before_deploy
# 自动快照(推荐使用 zfs-auto-snapshot)
# Ubuntu: apt install zfs-auto-snapshot
# 默认策略:每 15 分钟/每小时/每天/每周/每月各保留一定数量
8.3 备份策略:3-2-1 原则
快照保护的是“手滑删错”,但保护不了磁盘故障、机房火灾、勒索软件加密。真正的数据保护需要遵循 3-2-1 备份原则:
- 3 份数据:原始数据 + 2 份备份
- 2 种介质:至少使用两种不同的存储介质(如本地磁盘 + 对象存储)
- 1 份异地:至少一份备份存放在异地(不同机房/不同地域)
实现方案示例
# 第 1 层:本地快照(保护误操作,秒级恢复)
# LVM/Btrfs/ZFS 快照,每小时一次,保留 48 小时
# 第 2 层:本地备份服务器(保护单机故障,分钟级恢复)
# 使用 rsync 增量同步到备份服务器
rsync -avz --delete \
--backup --backup-dir="/backup/incremental/$(date +%Y%m%d)" \
/data/ backup-server:/backup/data/
# 第 3 层:异地对象存储(保护机房级故障,小时级恢复)
# 使用 restic 加密备份到 S3 兼容存储
restic -r s3:s3.amazonaws.com/my-backup-bucket init
restic -r s3:s3.amazonaws.com/my-backup-bucket backup /data/
restic -r s3:s3.amazonaws.com/my-backup-bucket forget --keep-daily 30 --keep-weekly 12 --keep-monthly 24 --prune
备份验证(最容易被忽略的环节)
备份不验证等于没备份。定期执行恢复演练:
# restic 验证备份完整性
restic -r s3:s3.amazonaws.com/my-backup-bucket check
# 定期恢复演练(建议每月一次)
restic -r s3:s3.amazonaws.com/my-backup-bucket restore latest --target /tmp/restore_test/
diff -rq /data/app/ /tmp/restore_test/data/app/
rm -rf /tmp/restore_test/
九、企业级数据保护方案
个人服务器搞个 trash-cli + 定时快照基本够用了。但在企业生产环境中,数据保护需要更系统化的方案。
9.1 权限管控:从源头减少误操作
最小权限原则
# 生产环境关键目录设置 immutable 属性(即使 root 也无法直接删除)
chattr +i /data/app/config.yml
chattr +i /data/database/
# 查看文件属性
lsattr /data/app/config.yml
# ----i--------e-- /data/app/config.yml
# 需要修改时先解除保护
chattr -i /data/app/config.yml
# 修改完成后重新加锁
chattr +i /data/app/config.yml
safe-rm:rm 命令的安全包装
# 安装 safe-rm
apt install safe-rm
# 配置保护路径列表
cat > /etc/safe-rm.conf << 'EOF'
/
/etc
/usr
/var
/home
/data
/data/database
EOF
# safe-rm 会拒绝删除配置中列出的路径
safe-rm -rf /data
# safe-rm: skipping /data
sudo 审计和限制
# /etc/sudoers.d/restrict-rm
# 禁止通过 sudo 执行 rm -rf /
Cmnd_Alias DANGEROUS = /bin/rm -rf /, /bin/rm -rf /*
ALL ALL=(ALL) !DANGEROUS
# 开启 sudo 命令审计日志
Defaults logfile="/var/log/sudo.log"
Defaults log_input, log_output
Defaults iolog_dir="/var/log/sudo-io/%{user}"
9.2 自动化快照策略
在 Kubernetes 环境中,结合 CSI 快照控制器实现 PV 级别的自动快照:
# VolumeSnapshotClass 定义
apiVersion: snapshot.storage.k8s.io/v1
kind: VolumeSnapshotClass
metadata:
name: csi-snapshot-class
driver: ebs.csi.aws.com # 根据实际 CSI 驱动调整
deletionPolicy: Retain
parameters:
tagSpecification_1: "Environment=production"
---
# 创建 PV 快照
apiVersion: snapshot.storage.k8s.io/v1
kind: VolumeSnapshot
metadata:
name: data-snapshot-20260206
namespace: production
spec:
volumeSnapshotClassName: csi-snapshot-class
source:
persistentVolumeClaimName: app-data-pvc
CronJob 自动快照
apiVersion: batch/v1
kind: CronJob
metadata:
name: pv-snapshot-cronjob
namespace: production
spec:
schedule: "0 */6 * * *" # 每 6 小时
jobTemplate:
spec:
template:
spec:
serviceAccountName: snapshot-manager
containers:
- name: snapshot-creator
image: bitnami/kubectl:1.32
command:
- /bin/sh
- -c
- |
SNAP_NAME="data-snap-$(date +%Y%m%d-%H%M%S)"
kubectl apply -f - <<SNAP
apiVersion: snapshot.storage.k8s.io/v1
kind: VolumeSnapshot
metadata:
name: ${SNAP_NAME}
namespace: production
spec:
volumeSnapshotClassName: csi-snapshot-class
source:
persistentVolumeClaimName: app-data-pvc
SNAP
# 清理 7 天前的快照
kubectl get volumesnapshot -n production \
--sort-by=.metadata.creationTimestamp -o name | \
head -n -28 | xargs -r kubectl delete -n production
restartPolicy: OnFailure
9.3 数据库专项保护
数据库文件不能简单地用文件级工具恢复——即使文件恢复了,数据一致性也可能已经被破坏。数据库有自己的保护机制:
# MySQL/MariaDB:binlog 点恢复
# 确认 binlog 已开启
mysql -e "SHOW VARIABLES LIKE 'log_bin';"
# 从全量备份 + binlog 恢复到指定时间点
mysqlbinlog --stop-datetime="2026-02-06 10:30:00" \
/var/lib/mysql/binlog.000042 | mysql -u root -p
# PostgreSQL:WAL 归档 + PITR
# postgresql.conf 配置
# archive_mode = on
# archive_command = 'cp %p /backup/wal/%f'
# 恢复到指定时间点
cat > /var/lib/postgresql/16/main/recovery.signal << EOF
EOF
# postgresql.conf 中设置
# restore_command = 'cp /backup/wal/%f %p'
# recovery_target_time = '2026-02-06 10:30:00'
十、恢复操作注意事项
工具和方法都讲完了,但恢复操作本身也有不少坑。下面这些注意事项是从各种翻车现场总结出来的,每一条都对应一个真实的教训。
10.1 第一原则:立即停止写入
这一点怎么强调都不过分。误删文件后,对目标分区的每一次写入都在降低恢复成功率。
# 紧急操作清单(按优先级排序)
# 1. 如果可能,立即将分区重新挂载为只读
mount -o remount,ro /data
# 2. 如果无法 remount(比如根分区),停掉所有非必要服务
systemctl stop nginx
systemctl stop application
systemctl stop rsyslog
systemctl stop cron
# 3. 禁用 swap(swap 分区的写入也可能覆盖数据)
swapoff -a
# 4. 如果是 SSD,立即禁用 TRIM(防止控制器擦除数据块)
# 临时禁用 fstrim.timer
systemctl stop fstrim.timer
# 检查 fstab 中是否有 discard 挂载选项
grep discard /etc/fstab
10.2 先做磁盘镜像再操作
在对磁盘做任何恢复操作之前,先用 dd 做一份完整的磁盘镜像。这样即使恢复操作搞砸了,还有原始数据可以重来。
# 创建分区的完整镜像(确保目标位置在其他分区上)
dd if=/dev/sda2 of=/backup/sda2.img bs=4M status=progress conv=noerror,sync
# 如果磁盘空间不够,可以压缩
dd if=/dev/sda2 bs=4M status=progress conv=noerror,sync | \
gzip -c > /backup/sda2.img.gz
# 后续所有恢复操作都在镜像上进行,不碰原始磁盘
# 挂载镜像文件进行恢复
losetup /dev/loop0 /backup/sda2.img
extundelete /dev/loop0 --restore-all
losetup -d /dev/loop0
10.3 恢复文件的验证
文件恢复出来不代表就完事了,必须验证文件的完整性和可用性。
# 基础验证:文件大小是否合理
ls -la recovered_file
# 大小为 0 的文件显然恢复失败了
# 文件类型验证
file recovered_file
# 如果显示 "data" 而不是预期的文件类型,说明文件可能损坏
# 文本文件:检查内容是否可读
head -20 recovered_file
tail -20 recovered_file
# 压缩文件:验证完整性
gzip -t recovered_file.gz
tar -tzf recovered_file.tar.gz > /dev/null
# 数据库文件:用对应工具验证
sqlite3 recovered.db "PRAGMA integrity_check;"
mysqlcheck -u root -p --all-databases # MySQL
# 计算校验和(如果有原始文件的校验和记录)
sha256sum recovered_file
10.4 不同场景的恢复策略选择
误删文件了!
|
v
进程还在运行吗?(lsof +L1 检查)
|
+-- 是 --> /proc/pid/fd 恢复(成功率 100%)
|
+-- 否 --> 文件系统类型是什么?
|
+-- ext4 --> extundelete/ext4magic(成功率 60-80%)
| |
| +-- 失败 --> debugfs 手动恢复
| |
| +-- 仍然失败 --> photorec(丢失文件名)
|
+-- XFS --> photorec(成功率 30-50%)
|
+-- Btrfs --> btrfs restore 命令
|
+-- ZFS --> zfs rollback(如果有快照)
10.5 SSD 与 HDD 的恢复差异
这是很多人忽略的关键点。SSD 和 HDD 在数据恢复上有本质区别:
| 特性 |
HDD(机械硬盘) |
SSD(固态硬盘) |
| 删除后数据保留 |
数据块内容保留直到被覆盖 |
TRIM 命令可能导致数据被物理擦除 |
| 恢复窗口 |
较长(取决于写入量) |
可能极短(TRIM 后几秒内擦除) |
| photorec 效果 |
通常较好 |
取决于 TRIM 是否已执行 |
| 建议 |
标准恢复流程即可 |
立即禁用 TRIM,尽快操作 |
# 检查 SSD 是否启用了 TRIM
# 方法 1:检查 fstab 中的 discard 选项
grep discard /etc/fstab
# 方法 2:检查 fstrim.timer 是否活跃
systemctl is-active fstrim.timer
# 方法 3:检查设备是否支持 TRIM
lsblk --discard /dev/sda
# DISC-GRAN 和 DISC-MAX 非零表示支持 TRIM
十一、总结
11.1 三种恢复方法速查表
| 方法 |
适用条件 |
成功率 |
恢复速度 |
保留文件名 |
文件系统要求 |
| /proc/pid/fd |
进程仍持有文件句柄 |
100% |
秒级 |
是 |
任意 |
| extundelete/ext4magic |
文件系统为 ext4,数据未被覆盖 |
60-80% |
分钟级 |
是 |
ext3/ext4 |
| testdisk |
文件系统结构基本完整 |
50-70% |
分钟级 |
是 |
多数文件系统 |
| photorec |
数据块未被覆盖 |
40-60% |
小时级 |
否 |
任意 |
| debugfs |
ext4 文件系统,需要手动操作 |
30-50% |
分钟级 |
否 |
ext2/ext3/ext4 |
11.2 技术要点回顾
- 理解原理是恢复的基础:
rm 删除的是 dentry 和 inode 引用,数据块内容在被覆盖之前一直存在。搞清楚 inode、dentry、data block 三者的关系,才能判断用哪种方法恢复
- 时间就是数据:误删后的每一秒都在增加数据被覆盖的风险。立即停止写入、remount 为只读、禁用 TRIM,这些操作的优先级高于任何恢复工具
- 先镜像再恢复:对目标分区做 dd 镜像是恢复操作的安全网。在镜像上操作,原始数据永远有退路
- SSD 是恢复的天敌:TRIM 机制会让 SSD 控制器主动擦除已删除文件的数据块,软件层面无法阻止已经执行的 TRIM 操作
- XFS 恢复难度远高于 ext4:XFS 删除文件时清除 extent 指针,导致 inode 级恢复基本不可行,只能依赖 photorec 的文件签名扫描
11.3 预防体系总结
恢复永远是亡羊补牢,预防才是正道。按照投入产出比排序:
| 层级 |
措施 |
成本 |
保护范围 |
恢复速度 |
| L0 |
trash-cli 替代 rm |
几乎为零 |
误操作 |
秒级 |
| L1 |
chattr +i 保护关键文件 |
零 |
关键配置文件 |
即时 |
| L2 |
safe-rm 黑名单 |
低 |
系统关键路径 |
即时 |
| L3 |
文件系统快照(LVM/Btrfs/ZFS) |
中 |
整个分区 |
秒到分钟级 |
| L4 |
本地备份服务器(rsync) |
中 |
单机故障 |
分钟级 |
| L5 |
异地加密备份(restic + S3) |
中高 |
机房级故障 |
小时级 |
| L6 |
数据库 PITR(binlog/WAL) |
中 |
数据库误操作 |
分钟到小时级 |
| L7 |
K8s CSI 快照 + CronJob |
中 |
容器化存储 |
分钟级 |
生产环境建议至少覆盖 L0 + L3 + L5,也就是 trash-cli + 文件系统快照 + 异地备份。数据库环境额外加上 L6。
11.4 进阶学习方向
文件恢复本质上是在和熵增做对抗——数据一旦被覆盖就彻底不可逆。与其把精力花在恢复技术上,不如把防线前移到快照和备份层面。以下几个方向值得深入研究。
1. 文件系统级快照:ZFS 和 Btrfs
ZFS 的 COW(Copy-On-Write)机制天然支持零成本快照。zfs snapshot pool/data@before-deploy 一条命令就能冻结当前状态,回滚只需要 zfs rollback,整个过程在秒级完成。Btrfs 的子卷快照也是类似的思路,btrfs subvolume snapshot 创建快照几乎不占额外空间。对于数据敏感的业务,把根分区和数据分区分别放在 ZFS/Btrfs 上,配合定时快照策略(比如每小时一次、保留 24 个),能覆盖绝大多数误操作场景。需要注意的是 ZFS 在 Linux 上的内核模块兼容性问题,RHEL 系发行版需要通过 DKMS 或 kABI 模块安装,升级内核前务必确认模块兼容。
2. 企业级备份方案:Restic 和 Velero
Restic 是目前最值得关注的开源备份工具之一。它原生支持加密、去重、增量备份,后端可以对接 S3、B2、SFTP 等多种存储。restic backup + restic forget --keep-daily 7 --keep-weekly 4 --keep-monthly 6 就能实现一套完整的 3-2-1 备份策略中的异地备份环节。在 Kubernetes 环境下,Velero 是事实上的标准备份方案,它能备份集群资源定义和持久卷数据,配合 CSI 快照驱动可以实现应用一致性备份。建议在生产环境中把 Restic 用于传统主机备份、Velero 用于 K8s 集群备份,两条线互不干扰。
3. 3-2-1 备份原则的落地实践
3-2-1 原则说起来简单(3 份副本、2 种介质、1 份异地),落地时最容易踩的坑是“以为备份了但恢复时才发现不可用”。定期做恢复演练比备份本身更重要。建议每季度至少做一次全量恢复测试,验证备份数据的完整性和恢复流程的可操作性。另外,备份链路本身也需要监控——Restic 的 restic check 可以验证仓库完整性,配合 Prometheus 的 pushgateway 把备份状态推送到监控系统,备份失败时能第一时间告警。
11.5 参考资料
- ext4 文件系统官方文档 - 内核文档中关于 ext4 数据结构的权威说明
- extundelete 项目主页 - extundelete 使用文档和原理说明
- testdisk / photorec 官方文档 - CGSecurity 维护的数据恢复工具套件
- restic 备份工具 - 现代化的加密增量备份方案
- trash-cli GitHub - FreeDesktop.org Trash 规范的命令行实现
- Linux VFS 层文件删除流程 - 内核虚拟文件系统层的 unlink 实现细节
- OpenZFS 文档 - ZFS 快照、复制、管理的官方指南
- Btrfs Wiki - Btrfs 子卷和快照管理文档
- Velero 官方文档 - Kubernetes 集群备份和迁移方案
更多系统运维与数据保护实践,欢迎访问 云栈社区。
附录
A. 误删文件应急命令速查表
# ========== 第一时间:停止写入 ==========
mount -o remount,ro /data # 目标分区只读挂载
systemctl stop fstrim.timer # 禁用 SSD TRIM 定时器
swapoff -a # 关闭 swap
# ========== 方法一:/proc/pid/fd 恢复 ==========
lsof +L1 2>/dev/null | grep deleted # 查找被删除但仍被打开的文件
cp /proc/<PID>/fd/<FD> /recovery/file # 从进程 FD 复制文件
# ========== 方法二:ext4 文件系统恢复 ==========
extundelete /dev/sda2 --restore-all # extundelete 恢复所有文件
ext4magic /dev/sda2 -M -d /recovery/ # ext4magic 深度恢复
# ========== 方法三:通用数据恢复 ==========
testdisk /dev/sda # testdisk 交互式恢复
photorec /dev/sda2 # photorec 文件签名恢复
# ========== debugfs 底层操作 ==========
debugfs -R "lsdel" /dev/sda2 # 列出已删除的 inode
debugfs -R "dump <INODE> /tmp/file" /dev/sda2 # 导出指定 inode
# ========== 磁盘镜像(恢复前必做) ==========
dd if=/dev/sda2 of=/backup/sda2.img bs=4M status=progress # 完整镜像
发表于 3 小时前
|
查看: 5|
回复: 0
