linuxrm-rf删除的文件怎么恢复

第一种 误删文件进程还在

这种方法就比较简单，能还原的文件限制也比较多。如果被删除的文件的进程还是存在，即能找到进程PID。通过命令 lsof | grep (deletefile) 查找到进程id。然后就是进入进程目录 cd /proc/PID/fd 。然后可以通过 ll 命令查看具体文件信息，将有软连接到被删除文件的文件复制就可还原了。

第二种 使用extundelete之类基于inode的工具

针对 Linux 下的 ext 文件系统来说，常用的 Linux 文件删除恢复工具有 debugfs、ext3grep、extundelete 等。extundelete 是一个开源的数据恢复工具，支持 ext3、ext4 文件系统，其官方站点位于http://extundelete.sourceforce.net/，目前最新稳定版本为 0.2.0。

这个工具和还有一些其他类似的恢复工具，都是基于inode，还原文件的，也就是说，需要被删除文件的inode还在，没有被覆盖，即在文件删除之后，没有读写输入。所以第一件事就是挂起文件所在分区。但是这个 *** 作有个问题就是，如果系统只有一个挂载盘，而且还是线上服务的话，挂起是不现实的。并且就算读写不多，但是系统本身没有安装这些恢复工具，在你安装编译这些恢复工具时的读写，也很可能把删除的文件inode覆盖了。

但是如果，系统拥有多个挂载盘，且被删除文件分区所在的文件盘挂起并不印象，你还是可以尝试这个方法的。或者系统本身就有安装这个工具，距离文件删除不是很久，也可以试一下，也许inode还在呢。

具体使用方法这里就不说了，网上很多教程，随便搜一下都是。

第三种 testdisk工具

testdisk 是分区表恢复、raid 恢复、分区恢复的开源免费工具（testdisk 支持如下文件系统: FAT12/FAT16/FAT32/NTFS/ext2/ext3/ext4）。testdisk 支持的功能: 修复分区表, 恢复已删除分区，用 FAT32 备份表恢复启动扇区，重建 FAT12/FAT16/FAT32 启动扇区，修复 FAT 表，重建 NTFS 启动扇区，用备份表恢复 NTFS 启动扇区，用 mft 镜像表(mft mirror)修复 mft 表，查找 ext2/ext3 备份的 superblock，从 FAT,NTFS 及 ext2 文件系统恢复删除文件，从已删除的 FAT,NTFS 及 ext2/ext3 分区复制文件。

所以，这个工具是不基于inode的，即时文件后，没有挂起分区，读写 *** 作一直在进行，或者过去很久了，都是可以有机会恢复文件的。

但也不是百分百能成功，举个栗子，被删除的是 /usr/local/mytest 这个文件夹。然后你这个文件夹下部分文件的备份，为了及时先恢复部分线上业务，然后你mkdir /usr/local/mytest 然后将部分备份复制了进去。那么testdisk也无法拯救恢复了。还有就是testdisk恢复文件时，还需要注意看一下文件大小。如果文件大小显示为0，那么就算选择恢复这个文件，也是会得到一个0kb的文件。

所以这个适用于，一些inode已经被覆盖，但是文件物理存储块还未被覆盖的文件，可以尝试一下这个方法，也许可以找回部分丢失文件。

在使用rm -rf这个命令时一定要小心再小心，不然造成的后果是很严重的，因此提醒大家再使用这个命令时一定要保持头脑清醒。

1、查看进程“打开”的文件 (方法1)：

1）pidof programe-name(获得想了解的进程(programe-name)的PID)

或ps -aux|grep programe-name(获得想了解的进程(programe-name)的PID)

找出进程的PID

2）cd /proc/$PID/fd（会看见文件描述符）

3）ls -l 得到文件描述符指向的实际文件,即当前进程打开的文件

2、查看进程“打开”的文件 (方法2)：

1）获得想了解的进程的PID方法同上

2）lsof -c programe-name

或lsof -p $PID

文章结构：

proc是Linux系统下一个很重要的目录。 它跟/etc, /home等这些系统目录不同， 它不是一个真正的文件系统， 而是一个虚拟的文件系统。 它不存在于磁盘， 而是存在于系统内存中。 所以当你使用 ls -al /proc这条命令来查看proc目录时， 会看到其下面的所有文件的大小都为0字节。 proc以文件系统的方式为访问系统内核的 *** 作提供接口。 很多系统的信息， 如内存使用情况， cpu使用情况， 进程信息等等这些信息，都可以通过查看/proc下的对应文件来获得。 proc文件系统是动态从系统内核读出所需信息的。

proc目录下具体有哪些文件呢？

/proc 目录下的文件

/proc/cpuinifo CPU的信息（型号、家族、缓存大小等）

/proc/meminfo物理内存、交换空间

/proc/mounts 已加载的文件系统的列表

/proc/devices 可用设备的列表

/proc/filesystems 被支持的文件系统

/proc/modules 已加载的模块

/proc/virsion 内核版本

/proc/cmdline 系统启动时输入的内核命令行参数

/proc/XXX XXX是指以进程PID（数字编号）命名的目录，每一个目录表示一个进程（即线程组）。

/proc/swaps 要获知swap空间的使用情况

/proc/uptime 获取系统的正常运行时间

/proc/fs/nfsd/exports 列出由NFS共享的文件系统

/proc/kmsg 该文件被作为内核日志信息源，它可以被作为一个系统信息调用的接口使用

/proc/self -- 到当前进程/proc目录的符号链接，通过这个目录可以获取当前运行进程的信息。

/proc/pci -- 挂接在PCI总线上的设备

/proc/tty/driver/serial --串口配置、统计信息

/proc/version -- 系统版本信息

/proc/sys/kernel/ostype

/proc/sys/kernel/osrelease

/proc/sys/kernel/version

/proc/sys/kernel/hostname -- 主机名

/proc/sys/kernel/domainname -- 域名

/proc/partitions -- 硬盘设备分区信息

/proc/sys/dev/cdrom/info -- CDROM信息

/proc/locks -- 当前系统中所有的文件锁

/proc/loadavg -- 系统负荷信息

/proc/uptime -- 系统启动后的运行时间

很多系统命令在读取系统信息的时候，其实是从proc目录下读取对应的文件来获得的。 所以如果我们不使用这些命令， 直接到proc目录下去查看对应文件，也是可以获得对应的信息的。 下面举几个例子：

对于查看进程信息一栏，做下补充：

/proc/N pid为N的进程信息

/proc/N/cmdline 进程启动命令

/proc/N/cwd 链接到进程当前工作目录

/proc/N/environ 进程环境变量列表

/proc/N/exe 链接到进程的执行命令文件

/proc/N/fd 包含进程相关的所有的文件描述符

/proc/N/maps 与进程相关的内存映射信息

/proc/N/mem 指代进程持有的内存，不可读

/proc/N/root 链接到进程的根目录

/proc/N/stat 进程的状态

/proc/N/statm 进程使用的内存的状态

/proc/N/status 进程状态信息，比stat/statm更具可读性

/proc/self 链接到当前正在运行的进程

更多的应用场景， 留给大家自己到/proc目录下探索吧。

---