查看进程打开文件命令 lsof (list open files) 查看当前文件系统的工具。在Linux 环境,一切皆文件,用户通过文件不仅可以
访问常规数据,还可以访问网络连接。系统在后台都为应用程序分配了一个文件描述符。
在终端下输入lsof即可显示系统打开的文件,
因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
当系统中的某个文件被意外删除了,只要这个时候系统中有进程正在访问这个文件,
那么可以通过lsof 从/proc目录下恢复文件的内容。
原理是:在Linux系统的/proc 分区下保存着进程的目录和名字,包含fd(文件描述符)和其下的子目录(进程打开文件的链接),
那么如果删除了一个文件,还存在一个 inode的引用: 。
当不小心用了 rm -f 删除文件时,其实只是删除了文件的目录索引节点,对于文件系统不可见,但是对于打开它的进程依然可见。就可以使用I/O重定向的方式来恢复文件
以删除日志文件 /var/log/messages 为例。
具体操作恢复文件过程:
cat /proc/1288/fd/1 (/proc/进程号/fd/文件描述符)
cat /proc/1288/fd/1 > /var/log/messages ##通过重定向的方法恢复被删除的/var/log/messages(也可以使用cp命令拷贝回原路径)
亲,如果不小心误删了文件,不要着急呀,首先使用 lsof 查看打开该文件的进程,然后再使用 cat /proc/进程号/fd/文件描述符
查看恢复数据,最后使用I/O重定向的方式来恢复文件。(注意:使用lsof也只能去恢复那些被delete但是仍然是open的文件。)
标签:文件,删除,lsof,误删,fd,进程,proc
来源: https://www.cnblogs.com/liuyakai/p/14299689.html
525
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
