linux rm 文件找回_linux rm -rf 删除文件之后的恢复办法

记录我尝试恢复rm命令删除文件之后的恢复的三种办法。

先不管使用哪种办法，网上找到的主流的都是基于inode的，所以，在文件被删除后，马上挂起挂载盘只允许读操作，拒绝写操作是第一要义。

第一种 误删文件进程还在

这种方法就比较简单，能还原的文件限制也比较多。如果被删除的文件的进程还是存在，即能找到进程PID。通过命令 lsof | grep (deletefile) 查找到进程id。然后就是进入进程目录 cd /proc/PID/fd 。然后可以通过 ll 命令查看具体文件信息，将有软连接到被删除文件的文件复制就可还原了。

第二种 使用extundelete之类基于inode的工具

针对 Linux 下的 ext 文件系统来说，常用的 Linux 文件删除恢复工具有 debugfs、ext3grep、extundelete 等。extundelete 是一个开源的数据恢复工具，支持 ext3、ext4 文件系统，其官方站点位于http://extundelete.sourceforce.net/，目前最新稳定版本为 0.2.0。

这个工具和还有一些其他类似的恢复工具，都是基于inode，还原文件的，也就是说，需要被删除文件的inode还在，没有被覆盖，即在文件删除之后，没有读写输入。所以第一件事就是挂起文件所在分区。但是这个操作有个问题就是，如果系统只有一个挂载盘，而且还是线上服务的话，挂起是不现实的。并且就算读写不多，但是系统本身没有安装这些恢复工具，在你安装编译这些恢复工具时的读写，也很可能把删除的文件inode覆盖了。

但是如果，系统拥有多个挂载盘，且被删除文件分区所在的文件盘挂起并不印象