误删数据后应立即停止写操作,确认文件系统类型后选择对应工具恢复,挂载为只读,针对性执行恢复并验证完整性,最后加固防护措施。
误删数据后别急着关机或写入新文件,立即停止对目标分区的所有写操作,这是恢复成功的关键前提。
一、快速判断删除方式和文件系统类型
Linux下文件删除分几种情况:普通rm命令删除、shift+delete绕过回收站(多数桌面环境无真正回收站)、extundelete支持的ext3/ext4、xfs_irecover对应XFS等。先用df -T确认文件系统类型,再决定工具:
- ext3/ext4:优先尝试extundelete或photorec
- XFS:使用xfs_irecover(需未覆盖inode)或xfs_db配合手动提取
- Btrfs:依赖快照(btrfs subvolume list查是否有可用快照),否则恢复难度大
- 若挂载了/home或/var在独立分区,只对该分区操作,避免波及其他区域
二、挂载为只读并准备恢复环境
即使已卸载,也建议重新以ro(只读)方式挂载,防止意外写入:
sudo mount -o remount,ro /dev/sdXn /mnt/recover
若原分区正在使用(如根分区),可从Live USB启动(推荐SystemRescueCD或Ubuntu Live),然后挂载目标磁盘为只读。恢复工具统一安装到内存或另一块干净磁盘,切勿装在待恢复分区上。
三、针对性执行恢复操作
根据场景选择方法,不盲目全盘扫描:
- 知道被删文件名和路径?用extundelete --restore-file "path/to/file" /dev/sdXn,比全盘恢复快且精准
- 不确定具体路径但记得扩展名?photorec按文件头识别(支持数百种格式),但会丢失原始文件名和目录结构
- 刚执行rm -rf且进程仍在?检查lsof +L1,若文件仍被某进程打开,可通过/proc/PID/fd/直接复制回来
- 有定期rsync或borg备份?优先从最近备份还原,比底层恢复更可靠
四、恢复后验证与预防加固
恢复出的文件务必校验内容完整性(如对比哈希、打开测试、检查日志时间戳),不要直接覆盖原位置。后续建议立即落实防护措施:
- 给rm加别名:alias rm='rm -i'(写入~/.bashrc)
- 重要目录启用trash-cli(模拟回收站),删除走trash命令
- 对关键数据配置logrotate归档或etckeeper跟踪配置变更
- 定期用dd或partclone做分区级镜像,比文件级备份恢复更快
