在LINUX下的Ext3/Ext4文件系統(tǒng)下�����,如果誤刪除了數(shù)據(jù)����,數(shù)據(jù)恢復難度很大。如果說刪除的文件數(shù)量不大(一般在幾百個文件以內)�,還能夠通過.journal日志文件對比殘留的inode信息進行恢復,恢復出來的數(shù)據(jù)目錄結構不一定能保留完整����;如果刪除文件數(shù)量很大,數(shù)據(jù)恢復幾乎不能完整保留文件目錄結構�����。這是Ext3/Ext4文件系統(tǒng)的通病,不給誤刪除留后路��!在數(shù)據(jù)恢復業(yè)案例中���,有不少例子是LINUX下誤刪除了ORACLE數(shù)據(jù)庫文件��,我今天來講講Linux下刪除Oracle數(shù)據(jù)庫的數(shù)據(jù)恢復技術方案�。
數(shù)據(jù)丟失案例背景:
計算機維護工程師停掉oracle服務��,打算把oracle做一個冷備份�,把庫文件備份到windows PC Server上,用CuteFTP客戶端下載���。在下載過程中�����,發(fā)現(xiàn)下載速度特別慢�,想刪除下載任務�,結果誤操作,把要下載的oracle實例文件夾整個都刪除了����, oracle庫文件、控制文件��、日志文件全部刪除了�����。
LINUX下EXT3文件系統(tǒng)恢復技術介紹:
EXT3文件系統(tǒng)沒有預留反刪除的功能��。
在EXT3文件系統(tǒng)中���,每個文件都是通過Inode來描述其數(shù)據(jù)存放的具體位置����,當刪除文件以后�����,Inode的數(shù)據(jù)指針部分被清零���,文件目錄區(qū)沒有太多變化���。文件的讀寫都是通過Inode來實現(xiàn)�����,當Inode數(shù)據(jù)指針被清零以后�����,即便文件內容還在�,我們也沒有辦法把文件內容組合出來�����。
EXT3文件系統(tǒng)是一種帶日志功能的文件系統(tǒng)���,Inode的變化會在日志文件.journal中有記錄��,.journal文件比較小��,一般是32MB���。當EXT3文件系統(tǒng)中的metadata數(shù)據(jù)發(fā)生變化時,相應的metadata在.journal文件會有一份COPY��。比如一個文件被刪除了��,它的Inode信息會在.journal文件中先保存一份,然后把要刪除文件inode相關信息清零��。這個.journal文件是循環(huán)使用的���,當操作過多時,刪除的文件的inode日志記錄會被新的數(shù)據(jù)替換�����,這就徹底喪失了根據(jù)inode找回數(shù)據(jù)的機會了����。如果是大量文件的刪除,這個.journal文件會被反復循環(huán)利用多次��,只留給最后刪除的那些文件的恢復機會�����。
數(shù)據(jù)恢復技術:
客戶要恢復的是oracle數(shù)據(jù)庫���,oracle數(shù)據(jù)庫文件被刪除以后��,只要是數(shù)據(jù)內容沒有被覆蓋�����,達思數(shù)據(jù)恢復技術可以把文件單獨提取出來����。
經(jīng)過深入分析,在.journal文件沒有找到刪除過的oracle數(shù)據(jù)文件�,原因是用戶刪除數(shù)據(jù)以后,系統(tǒng)還在開機運行�,同時嘗試啟動過oracle實例,oracle產(chǎn)生一些日志文件���,這些日志文件數(shù)量比較多���,而要恢復的刪除過的文件數(shù)量只有16個,在.journal文件中已經(jīng)沒有了刪除文件的inode信息����。
恢復的思路有兩條:
第一種:根據(jù)oracle數(shù)據(jù)文件內部結構,對全盤進行搜索�����,符合oracle數(shù)據(jù)頁面的數(shù)據(jù)都提取出來,然后按照oracle數(shù)據(jù)文件的ID號進行重新組合�����。
第二種:根據(jù)oracle數(shù)據(jù)文件分布規(guī)律�,精確定位oracle文件的數(shù)據(jù)指針地址,包括一級間接地址�����、二級間接地址和三級間接地址��,重新構造出該文件的inode信息�,然后把數(shù)據(jù)讀取出來�����。
通過這兩種恢復出來的數(shù)據(jù)效果都很好����,最后oracle能正常啟動。工程師把數(shù)據(jù)全部備份出來����,最后發(fā)現(xiàn)有兩個表數(shù)據(jù)少了一些記錄,經(jīng)查明,原因就是刪除文件以后���,一些日志文件的寫入該分區(qū)�����,破壞了oracle數(shù)據(jù)文件的一些數(shù)據(jù)頁面��,幸好這兩張表數(shù)據(jù)對用戶來說不是很重要��。
數(shù)據(jù)安全提醒:
在LINUX/UINX下誤刪除了文件�,當發(fā)現(xiàn)數(shù)據(jù)丟失以后�����,最好不要進行任何操作���,馬上關機�,保留現(xiàn)場����。如果條件不允許關機,就要想辦法把數(shù)據(jù)丟失的文件系統(tǒng)經(jīng)過DD鏡像到另外的存儲空間上作為最原始的備份��。
來校路線
