Linux系统恢复重要文件

Linux 系统恢复重要文件

原文:https://cloud.tencent.com/developer/article/1882357

1.当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。

2.在 / proc 目录下，其中包含了反映内核和进程树的各种文件。/proc 目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以 lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。

3.当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过 lsof 从 / proc 目录下恢复该文件的内容。

假设入侵者将 / var/log/secure (Linux安全日志)文件删除掉了，尝试将 / var/log/secure 文件恢复的方法可以参考如下

a、删掉安全日志。

 rm -rf  /var/log/secure

b、使用lsof命令查看是否有进程打开 /var/log/secure

lsof | grep /var/log/secure
rsyslogd   6780                root    6w      REG        8,3     12755   37735212 /var/log/secure (deleted)
in:imjour  6780 6796           root    6w      REG        8,3     12755   37735212 /var/log/secure (deleted)
rs:main    6780 6797           root    6w      REG        8,3     12755   37735212 /var/log/secure (deleted)

c.从上面进程信息中可以看到rsyslogd的PID为6780，文件描述符为6，可以看到/var/log/secure已经标记为删除了。因此我们可以在 / proc/6780/fd/6（fd 下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：

tail /proc/6780/fd/6
Apr  2 09:36:14 k8s-node1 sshd[31900]: Accepted password for root from 192.168.31.2 port 52853 ssh2
Apr  2 09:36:14 k8s-node1 sshd[31900]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr  2 09:44:25 k8s-node1 polkitd[6202]: Registered Authentication Agent for unix-process:32698:2403616 (system bus name :1.247 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.utf8)
Apr  2 09:44:25 k8s-node1 polkitd[6202]: Unregistered Authentication Agent for unix-process:32698:2403616 (system bus name :1.247, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.utf8) (disconnected from bus)
Apr  2 09:44:32 k8s-node1 sshd[31503]: pam_unix(sshd:session): session closed for user root
Apr  2 09:44:32 k8s-node1 sshd[31900]: pam_unix(sshd:session): session closed for user root
Apr  2 09:44:34 k8s-node1 sshd[32766]: Accepted password for root from 192.168.31.2 port 57530 ssh2
Apr  2 09:44:34 k8s-node1 sshd[32766]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr  2 09:44:34 k8s-node1 sshd[32768]: Accepted password for root from 192.168.31.2 port 57531 ssh2
Apr  2 09:44:34 k8s-node1 sshd[32768]: pam_unix(sshd:session): session opened for user root by (uid=0)

d. 从上面的信息可以看出，查看 /proc/6780/fd/6 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用 I/O 重定向将其重定向到文件中，如:

cat /proc/6780/fd/6 > /var/log/secure

e. 再次查看 / var/log/secure，发现该文件已经存在。对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。

tail /proc/6780/fd/6
Apr  2 09:36:14 k8s-node1 sshd[31900]: Accepted password for root from 192.168.31.2 port 52853 ssh2
Apr  2 09:36:14 k8s-node1 sshd[31900]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr  2 09:44:25 k8s-node1 polkitd[6202]: Registered Authentication Agent for unix-process:32698:2403616 (system bus name :1.247 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.utf8)
Apr  2 09:44:25 k8s-node1 polkitd[6202]: Unregistered Authentication Agent for unix-process:32698:2403616 (system bus name :1.247, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.utf8) (disconnected from bus)
Apr  2 09:44:32 k8s-node1 sshd[31503]: pam_unix(sshd:session): session closed for user root
Apr  2 09:44:32 k8s-node1 sshd[31900]: pam_unix(sshd:session): session closed for user root
Apr  2 09:44:34 k8s-node1 sshd[32766]: Accepted password for root from 192.168.31.2 port 57530 ssh2
Apr  2 09:44:34 k8s-node1 sshd[32766]: pam_unix(sshd:session): session opened for user root by (uid=0)
Apr  2 09:44:34 k8s-node1 sshd[32768]: Accepted password for root from 192.168.31.2 port 57531 ssh2
Apr  2 09:44:34 k8s-node1 sshd[32768]: pam_unix(sshd:session): session opened for user root by (uid=0)