深入理解linux文件系统与日志文件及恢复误删除文件

目录

一、深入理解Linux文件系统

inode 和block 概述

1.1.2、inode 的内容

用户打开文件时，系统内部的过程

inode 的大小

inode 的特殊作用

inode删除命令

二、硬链接与软链接

硬链接

软链接

三、恢复ext类型文件

实验环境：CentOS7

四、xfs类型文件修复

实验环境：CentOS7

五、日志文件

日志文件的作用

日志文件的分类

常见的日志文件及查看方式

日志消息的级别

 查看日志的方式

总结

---

一、深入理解Linux文件系统

崭新的操作系统的文件数据除了实际内容外，通常含有非常多的属性，例如Linux操作系统的文件权限与文件属性。文件系统通常会将这两部分分别放在inode和block中。

inode 和block 概述

文件数据包括元信息与实际数据

文件存储在硬盘上，硬盘的最小存储单位是“扇区”，每个扇区存储512字节

文件是存储在硬盘上的，硬盘的最小存储单位叫做“扇区”（sector），每个扇区存储 512字节。操作系统读取硬盘的时候，不会一个个扇区地读取，这样效率太低，而是一次性连续读取多个扇区，即一次性读取一个"块"（block）。这种由多个扇区组成的"块"，是文件存取的最小单位。"块"的大小，最常见的是 4KB，即连续八个 sector 组成一个 block。

文件数据存储在“块”中，那么还必须找到一个地方存储文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做 inode，中文译名为“索引节点”，也叫 i 节点。因此，一个文件必须占用一个 inode，但至少占用一个 block。

1.1.2、inode 的内容

inode 包含很多的文件元信息，但不包含文件名，例如：
文件的字节数

文件拥有者的 UserID

文件的 GroupID

文件的读、写、执行权限

文件的时间戳

使用 stat 命令即可查看某个文件的 inode 信息
 

[root@ky17 home]# stat 1.txt
  文件："1.txt"
  大小：0         	块：0          IO 块：4096   普通空文件
设备：803h/2051d	Inode：67166935    硬链接：1
权限：(0644/-rw-r--r--)  Uid：(    0/    root)   Gid：(    0/    root)
最近访问：2022-01-04 18:43:35.979015581 +0800
最近更改：2022-01-04 18:43:35.979015581 +0800
最近改动：2022-01-04 18:43:35.979015581 +0800
创建时间：-

Linux 系统文件有三个主要的时间属性，分别是ctime(change time), atime(access time), mtime(modify time)。
ctime(change time) 是最后一次改变文件或目录（属性）的时间，例如执行 chmod， chown 等命令；

atime(access time)是最后一次访问文件或目录的时间；

mtime(modify time)是最后一次修改文件或目录（内容）的时间。
 

用户打开文件时，系统内部的过程

用户在访问文件时，表面上是用户通过文件名来打开文件，而实际系统内部的过程分成 以下三步：
系统找到文件名对应的 inode 号码；

通过 inode 号码，获取 inode 信息；

根据 inode 信息，找到文件数据所在的 block，并读出数据。

常见的查看 inode 号码的方式有两种：
ls -i 命令：直接查看当前目录文件名所对应的 inode 号码；

ls -ai 命令：直接查看当前目录文件及隐藏文件所对应的 inode 号码；

stat 命令：通过查看文件 inode 信息而查看到 inode 号码。
 

inode 的大小

inode 也会消耗硬盘空间，所以格式化的时候，操作系统自动将硬盘分成两个区域。一个是数据区，存放文件数据；另一个是 inode 区，存放 inode 所包含的信息。每个 inode 的大小，一般是 128 字节或 256 字节。通常情况下不需要关注单个 inode 的大小，而是需要重点关注 inode 总数。inode 的总数在格式化时就给定了，执行“df -i”命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。
 

inode 的特殊作用

由于 inode 号码与文件名分离，导致一些 Unix/Linux 系统具备以下几种特有的现象。
文件名包含特殊字符，可能无法正常删除。这时直接删除 inode，能够起到删除文件的作用；

移动文件或重命名文件，只是改变文件名，不影响 inode 号码；

打开一个文件以后，系统就以 inode 号码来识别这个文件，不再考虑文件名。

inode删除命令

find ./ -inum  inodo号 -delete

例子

 

 一个文件对应一个inodo号，inodo号被删除，文件也被删除，反之一样

 

二、硬链接与软链接

在 Linux 系统下的链接文件有两种，一种类似于 Windows 的快捷方式功能的文件，可以快速连接到目标文件或目录，称之为软链接；另一种则是通过文件系统的 inode 链接来产生的新文件名，而不是产生新文件，称之为硬链接。

硬链接

一般情况下，文件名和 inode 号码是一一对应关系，每个 inode 号码对应一个文件名。但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着，可以用不同的文件名访问同样的内容。ln 命令可以创建硬链接，命令的基本格式为：ln 源文件 目标

运行该命令以后，源文件与目标文件的 inode 号码相同，都指向同一个 inode。inode
信息中的“链接数”这时就会增加 1 。

当一个文件拥有多个硬链接时，对文件内容修改，会影响到所有文件名；但是删除一个文件名，不影响另一个文件名的访问。删除一个文件名，只会使得 inode 中的"链接数"减 1。需要注意的是不能对目录做硬链接。

软链接

软链接就是再创建一个独立的文件，而这个文件会让数据的读取指向它连接的那个文件 的文件名。例如，文件 A 和文件 B 的 inode 号码虽然不一样，但是文件 A 的，内容是文件B 的路径。读取文件 A 时，系统会自动将访问者导向文件 B。这时，文件 A 就称为文件 B 的“软链接”（soft link）或者“符号链接（symbolic link）。

这意味着，文件 A 依赖于文件 B 而存在，如果删除了文件 B，打开文件 A 就会报错。这是软链接与硬链接最大的不同：文件 A 指向文件 B 的文件名，而不是文件 B 的 inode 号码，文件 B 的 inode“链接数”不会因此发生变化。

软链接的创建命令的基本格式为：
ln -s 源文件或目录 目标文件或目录
 

三、恢复ext类型文件

EXT类型文件恢复

extundelete 是一个开源的 Linux 数据恢复工具，支持 ext3、ext4文件系统。（ext4只能在centos6版本恢复）
●下载网址：extundelete-0.2.4.tar.bz2

实验环境：CentOS7

使用fdisk创建分区/dev/sdb2，格式化ext3文件系统

fdisk /dev/sdb
mkfs.ext3 /dev/sdb2              磁盘分区并挂载
mkdir /sdb2
mount /dev/sdb2 /sdb2

yum -y install e2fsprogs-devel e2fsprogs-libs             #安装依赖包

cd /sdb2
拖入压缩包
tar jxvf extundelete-0.2.4.tar.bz2                        #进行解压缩
cd extundelete-0.2.4/
./configure --prefix=/usr/local/extundelete && make && make install  安装extundelete命令

ln -s /usr/local/extundelete/bin/* /usr/bin/     建立extundelete软连接

模拟删除并执行恢复操作

cd /sdb1                      
echo a>a                     创建几个文件
echo a>b
echo a>c
echo a>d
ls      
a   b   c   d
          
rm -rf a b                   删除a 和 b            
cd ~
umount /sdb2                 解除挂载

extundelete /dev/sdb2 --restore-all		恢复/dev/sdb2文件系统下的所有内容

在当前目录下会出现一个RECOVERED_FILES/目录，里面保存了已经恢复的文件
ls RECOVERED_FILES
a   b   

四、xfs类型文件修复

●CentOS 7 系统默认采用 xfs类型的文件，xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。

●xfsdump 命令常用的选项：
-f：指定备份文件目录
-L：指定标签 session label
-M：指定设备标签 media label
-s：备份单个文件，-s 后面不能直接跟路径

●xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统（可用 blkid命令查看）
 

实验环境：CentOS7

使用fdisk创建分区/dev/test，格式化xfs文件系统

fdisk /dev/sdb           磁盘分区
mkfs.xfs  /dev/sdb1       格式化磁盘   
mkdir /date               创建目录
mount /dev/sdb1 /date      分区挂载


cd /date
cp /etc/passwd ./          拷贝passwd到当前目录
touch  a b c                在当前目录创建abc三个文件


yum install -y xfsdump      安装xfsdump软件包

xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1     使用xfsdump工具将/dev/sdb1内的 
                                                             文件备份到opt下的dump_sdb1     
                                                            -L后面就是文件名-M后面是设备名

cd /date
rm -rf ./*                   删除当前目录所有文件
ls                           此时时空目录

xfsrestore -f /opt/dump_sdb1 /date         将opt下的dump_sdb1恢复到当前目录
ls                           查看有了abc三个文件
a b c 

 

五、日志文件

日志文件的作用

日志文件用于记录linux系统的各种运行信息的文件，相当于linux主机的日记，不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等。.
日志文件对于诊断和解决问题很有帮助，因为linux运行的程序通常把系统的消息和错误写入对应的日志文件，这样系统可以有据可查， 此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。

日志文件的分类

1.内核及系统日志:
内核及系统日志:这种日志数据由系统服务rsyslog同-管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中大部分的程序会把自己的日志文件交由rsyslog管理,因而这些应用程序使用的日志记录格式都很相似。

/etc/rsyslog.conf 常见配置格式为：
. 比后面等级高的（包含自己） *.info
.= 只记录该等级 .=debug
! 除了该等级都记录 ！ info

有记录需要记录时，先缓存到一定大小，一次性写入
2.用户日志:
用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
3.程序旧志
:有些应用程序会选择独立管理一份日志文件 ,而不是交给rsyslog服务管理,用于记录本程序运行过程中的各种事件信息。于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式也会存在较大的差异。

日志文件的位置
Linux系统本身和大部分服务器程序的日志文件默认放在/var/log/下。
部分程序共用一个日志文件,一部分程序使用单个日志文件。
而有些大型服务器程序日志由于日志文件不止一个,所以会在/var/log/目录中建立相应的子绿来存放日志文件,这样既保证了日志文件目录的结构清晰,又可以快速定位日志文件。有一部分日志文件只有root用户才有权限读取,这保证了相关日志信息的安全性。

常见的日志文件及查看方式

 

日志消息的级别

根据日志信息的重要程度不同，分为不同的级别
数字级别越小，优先级越高，消息越重要

 查看日志的方式

使用more或者cat都可以

more /var/logmessages           查看内核日志

cat /var/cron               查看周期性计划日志

总结

block与inode

硬链接与软链接

恢复误删除的文件Linux

主要包含的日志文件

Linux系统的日志消息级别

Linux系统中用户日志的查询命令