linux下文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.
proc文件系统可以协助我们恢复数据. 每一个系统上的进程在/proc都有一个目录和自己的名字: 里面包含了一个fd(文件描述符)子目录(进程需要打开文件的所有链接). 如果从文件系统中删除一个文件, 此处还有一个inode的引用:
/proc/进程号/fd/文件描述符
$ lsof | grep delete #查看进程里面是否有被删除文件的连接,如下形式:
[root@local ~]$ lsof | grep myfile
less 9104 root 4r REG 253,0 116549 492686 /home/root/myfile (deleted)
[root@local ~]$ ls -l /proc/9104/fd/4
lr-x—— 1 root root 64 Nov 20 13:00 /proc/9104/fd/4 -> /home/root/myfile (deleted)
[root@local ~]$ cp -a /proc/9104/fd/4 myfile.wrong
[root@local ~]$ ls -l myfile.wrong
lrwxrwxrwx 1 root root 29 Nov 20 13:02 myfile.wrong -> /home/root/myfile (deleted)
[root@local ~]$ file myfile.wrong
myfile.wrong: broken symbolic link to `/home/root/myfile (deleted)’
[root@local ~]$ file /proc/9104/fd/4
/proc/9104/fd/4: broken symbolic link to `/home/root/myfile (deleted)’
然后, 使用cp拷贝出数据(最好是在被删除文件的目录下进行以下操作):
[root@local ~]$ cp /proc/9104/fd/4 myfile.saved
最后, 确认一下文件:
[root@local ~]$ ls -l myfile.saved
-rw-rw-r– 1 root root 116549 Nov 20 13:03 myfile.saved
[root@local ~]$ cmp myfile.saved myfile.new #cmp比较无任何显示, 表示两个文件完全相同, 恢复成功