在 Linux 上如果事先沒有用別名(alias)修改默認的 rm 功能,rm 後文件就會丟失,幸運的是,在一般的刪除文件操作中,Linux 並不會立即清空存儲該文件的 block 內容,而只會釋放該文件所占用的 inode 和 data block,Linux 上 rm 的過程其實就是將 inode bitmap 和 data block bitmap 中的相應標識設為空閒狀態的過程,並不涉及到真正的數據,這也是為什麼在 Linux 下刪除大文件這麼快速的原因,因為大文件所占的磁盤根本就沒有清空。所以,如果我們能找到文件對應的 inode,由此查到相應的 data block,就可能從磁盤上把已刪除的文件恢復出來,很多文件/磁盤恢復工具都是這麼做的。
一般來說二進制文件、庫文件等刪除後都可以從其他 Linux 拷貝恢復,不是很要緊,如果自己辛苦寫的腳本或者配置文件誤刪了就杯具了。誤刪這種蠢事經常在 VPSee 身上發生,最近一次是在今年年初的時候,開了 screen 多次 ssh 到不同服務器上,在前後切換的過程中刪除了一個很肯定的配置文件,後來發現刪的文件是對的,可惜在一台錯誤的服務器上,本來應該在 A 服務器上刪除 file.txt 結果在 B 服務器上刪除了 file.txt,多個 screen 和 ssh 把自己搞暈了,而且主機名沒有安排好,多台機器都是用的 localhost,不利於識別當時的環境。如果使用 Linux 的時候不幸誤刪了一個文本文件怎麼辦呢?
先臨時建一個文本文件 vpsee.log 做測試,然後刪除這個文件:
$ echo "important log file for vpsee.com" > vpsee.log
$ cat vpsee.log
important log file for vpsee.com
$ rm vpsee.log如果能記住剛才刪除文件中的某個關鍵字的話可以用 grep 搜索整個 /dev/sda1,-a 標志位的意思是把 /dev/sda1 這個分區看成是文本形式的(分區本身是二進制形式的),-B 10 -A 100 的意思是如果找到關鍵字就打印出其前10行和後100行的內容:
# grep -a -B 10 -A 100 'vpsee.com' /dev/sda1 > tmp.txt在一堆 @ 之間可以找到我們剛才刪除的內容:
$ vi tmp.txt
...
@$^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@Ç^@^@^@^A^@^@^@^@^@^@^@^@^@^@^@È^K^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@^Q^@^@^@^C^@^@^@^@^@^@^@^@^@^@^@È^K^@^@×^@
^@^@important log file for vpsee.com
@
@
...當然,如果誤刪了二進制、doc、png/jpg/gif 之類的文件,可以用一些第三方 ext2/ext3 文件恢復工具幫助恢復文件,比如 TestDisk, PhotoRec 等。
