Silinen bir dosyayı yeniden bağlama

Bazen insanlar, yapmamaları gereken dosyaları siler, uzun süredir devam eden bir işlem hala açık dosyadır ve verileri yakalayarak kurtarmak /proc/<pid>/fd/Nyeterli değildir. Yeterince müthiş, inn numarasına yeniden bağlanmanıza izin verecek bir sihir seçeneği çalıştırarak silme işlemini "geri alabilirseniz" olur (lsof aracılığıyla kurtarıldı).

Bunu yapmak için Linux araçlarını bulamıyorum, en azından lanetli Googling ile.

Neyin var, serverfault?

DÜZENLEME1: Dosyayı yakalamanın nedeni /proc/<pid>/fd/Nyeterince harika değil çünkü dosyayı hala açık olan işlem hala yazıyor. Silme, inode başvurusunu dosya sistemi ad alanından kaldırır. İstediğim şey referansı yeniden oluşturmanın bir yolu.

EDIT2: 'debugfs ln' çalışıyor ancak ham dosya sistemi verilerini donduğu için risk çok yüksek. Kurtarılan dosya da çılgın tutarsız. Bağlantı sayısı sıfır ve buna bağlantı ekleyemiyorum. Bu şekilde daha kötüyüm, çünkü /proc/<pid>/fd/Nfs'imi bozmadan verilere erişmek için kullanabiliyorum .

Yeterince müthiş, inn numarasına (lsof aracılığıyla yeniden bağlandı) yeniden bağlanmanıza izin verecek bir sihir seçeneği çalıştırarak silmeyi "geri alabilmeniz" olur.

Bu harika özellikler tanıtıldı lniçinde v8.0 ile (GNU / coreutils) -L|--logicalneden olan seçeneği lnbir KQUEUE /proc/<pid>/fd/<handle>ilk. Çok basit

ln -L /proc/<pid>/fd/<handle> /path/to/deleted/file

silinmiş bir dosyayı yeniden bağlamak için yeterlidir.

Anlaşılan çok şey anlıyorsunuz, bu yüzden fazla ayrıntıya girmeyeceğim. İnode'u bulmak için birkaç yöntem vardır ve genellikle STDOUT'u kedi ile yeniden yönlendirebilirsiniz. Kullanabilirsiniz debugfs. Bu komutu içinde çalıştırın:

ln <$INODE> FILENAME

Dosya sistemini yedeklediğinizden emin olun. Muhtemelen daha sonra bir fsck çalıştırmanız gerekecektir. Bunu, hala yazılmakta olan bir inode ile başarılı bir şekilde test ettim ve bir yönetilen inode için yeni bir sabit link oluşturmak için çalışıyor.

Dosya ext3'te açılmamış bir dosyayla bağlantısızsa, veriler kaybolur. Bunun ne kadar tutarlı olduğunu doğru bilmiyorum ama veri kurtarma deneyimimin çoğu ext2'de. Ext3 SSS'den:

S: Silinen dosyaları ext3 bölümümden nasıl kurtarabilirim (geri silebilirim)? Aslında yapamazsın! Geliştiricilerden biri olan Andreas Dilger’in söylediği şey buydu:

Ext3'ün bir çökmeden sonra bir bağlantıyı güvenli bir şekilde sürdürmesini sağlamak için, aslında inode içindeki blok işaretleyicileri sıfırlar, ext2 ise bu blokları blok bitmaplerinde kullanılmayan olarak işaretler ve inode'u "silinmiş" olarak işaretler ve bloğu terk eder işaretçiler yalnız.

Tek umudunuz, dosyalarınızın silinmiş kısımlarını "aşmak" ve en iyisini ummaktır.

Bu soruda ayrıca alakalı bilgiler var:

Linux sunucusundaki boş bir dosyanın üzerine yazdım. Mevcut dosyayı kurtarabilir miyim?

gördüğünüz gibi debugfs yolu gerçekten işe yaramaz ve en iyi ihtimalle dosyanız yeniden başlatıldıktan sonra otomatik olarak silinir (dergi nedeniyle) ve en kötü ihtimalle dosya sisteminizi "ölüm döngüsünün yeniden başlatılması" ile sonuçlandırabilir. Doğru Çözüm (TM), geri alma işlemini VFS düzeyinde gerçekleştirmektir (aynı zamanda tüm Linux sürümleriyle pratik olarak çalışmanın yararına da sahiptir). Sistem çağrısı yolu (yanıp sönme), LKML'de göründüğü her zaman aşağıya vuruldu, bu nedenle en iyi yol + modülünden geçiyor.

Bu yaklaşımı uygulayan ve oldukça küçük ve temiz bir koda sahip olan bir proje fdlink'tir ( ubuntu maverick'in çekirdeği ile test edilmiş bir sürüm için https://github.com/pkt/fdlink.git ). Bununla beraber, modülü (sudo insmod flink_dev.ko) taktıktan sonra sadece "./flinkapp / proc // fd / X / my / link / path" işlemini yapabilirsiniz ve tam olarak ne istersen onu yapar.

Ayrıca ileride çalışan vfs-undelete.sourceforge.net'in ayrıca çalışan (ve aynı zamanda otomatik olarak orijinal isme de bağlanabilir) versiyonunu kullanabilirsiniz, ancak fdlink'in kodu daha basittir ve aynı zamanda benim tercihimdir.

Ne istersen onu nasıl yapacağımı bilmiyorum, ama benim yapacağım şey:

• RO dosyasını başka bir işlemden aç
• Orijinal işlemin çıkmasını bekleyin
• Açık FD'nizden bir dosyaya veri kopyalayın

İdeal değil, açık, ama mümkün. Diğer seçenek debugfs ile oynamaktır ( linkkomutu kullanarak ), ama bu bir üretim makinesinde biraz korkutucu!

Bugün aynı soruna rastladım. Gelebildiğim en iyi şey kaçmak

% tail -n +0 -f /proc/<pid>/fd/<fd> /path/to/deleted_file

işlem bitene kadar bir tmux / screen oturumunda.

İlginç soru. Bir görüşmeci, aynı soruyu bana bir iş görüşmesinde de sordu. Ona söylediğim şey, bunu yapmanın kolay bir yolu olmadığı ve genel olarak söz konusu zamana ve emeğe değmediği. Ona bu sorunun çözümünün ne olduğunu düşündüğünü sordum.

1. Diskte bulunan inode numarasını bulmak için lsof komutunu kullanın, dosya silinmiş olsa bile görünmeye devam eder ... anahtar hala açıktır.
2. Bir dosya sistemi hata ayıklayıcısı aracılığıyla buna dayanarak bilgileri dosya sisteminden çıkarın.

Sleuthkit icat kullanın .

sudo icat /dev/rdisk1s2 5484287 > accidentally_deleted_open_file

Göz korkutucu araçlar olmadan benim için çalışan hızlı çözüm:

1) doğrudan / proc içine bakarak süreci + fd'yi bulun:

ls -al /proc/*/fd/* 2>/dev/null | grep {filename}

2) Daha sonra pvatılan , @ nickray ile benzer bir teknik :

tail -c +0 -f /proc/{procnum}/fd/{fdnum} | pv -s {expectedsize} > {recovery_filename}

Bittiğinde Ctrl-C'ye ihtiyacınız olabilir ( ls /proc/{procnum}/fd/{fdnum}dosyanın artık mevcut olmadığını söyleyecektir), ancak tam bayt cinsinden boyutunu biliyorsanız pv -S, sayıma ulaşıldığında çıkmasını sağlamak için kullanabilirsiniz .