不小心執行 rm -f，該如何恢復？

• 2019 年 10 月 7 日
• 筆記

作者：justmine

來源：http://www.cnblogs.com/justmine/p/10359186.html

00.前言

每當我們在生產環境伺服器上執行rm命令時，總是提心弔膽的，因為一不小心執行了誤刪，然後就要準備跑路了，畢竟人不是機器，更何況機器也有bug，呵呵。

那麼如果真的刪除了不該刪除的文件，比如資料庫、日誌或執行文件，咋辦呢？欲知後事如何，請仔細看完本篇文章。

01.模擬場景

1. 刪除 誤刪除伺服器目錄/root/selenium/Spider下的MySql.Data.dll文件：

> rm -f /root/selenium/Spider/MySql.Data.dll  > ll /root/selenium/Spider/MySql.Data.dll  ls: cannot access /root/selenium/Spider/MySql.Data.dll: No such file or directory  

2. 恢復 (1)、使用lsof命令查看當前是否有進程打開/root/selenium/Spider/MySql.Data.dll文件：

> lsof | grep /root/selenium/Spider/MySql.Data.dll

從上面可以看出，當前文件狀態為已刪除（deleted）。

（2）、查看是否存在恢複數據：

/proc/13067/fd：進程操作的文件描述符目錄。 86：文件描述符。

> cat /proc/13067/fd/86  

（3）、使用I/O重定向恢復文件

> cat /proc/23778/fd/86 > /root/selenium/Spider/MySql.Data.dll  > ls -l /root/selenium/Spider/MySql.Data.dll  -rw-r--r-- 1 root root 702464 Feb 10 12:03 /root/selenium/Spider/MySql.Data.dll  

重新運行程式：

說明恢復的文件沒有問題。

02.刨根問底

通過前面的模擬場景演示了恢復文件的整個過程，那麼原理是什麼，在什麼情況下，文件才是可恢復的。

在Linux系統中，每個運行中的程式都有一個宿主進程彼此隔離，以/proc/進程號來體現（Linux本質上就是一個文件系統），比如：ls -l /proc/13067 查看進程PID為13067的進程資訊；當程式運行時，作業系統會專門開闢一塊記憶體區域，提供給當前進程使用，對於依賴的文件，作業系統會發放一個文件描述符，以便讀寫文件，當我們執行 rm -f 刪除文件時，其實只是刪除了文件的目錄索引節點，對於文件系統不可見，但是對於打開它的進程依然可見，即仍然可以使用先前發放的文件描述符讀寫文件，正是利用這樣的原理，所以我們可以使用I/O重定向的方式來恢復文件。

03.總結

如果不小心誤刪了文件，不要著急，首先使用 lsof 查看打開該文件的進程，然後再使用 cat /proc/進程號/fd/文件描述符 查看恢複數據，最後使用I/O重定向的方式來恢復文件。