Tips, trucos Linux

Tips trucos Linux



  • Programación en BASH

  • Equivalencias Windows en Linux

  • Recuperar archivos borrados con lsof y /proc
    (extraido de www.linux-es.org)
    En este articulo vamos a hablar de la utilidad 'lsof'. Con este programa, la informacion en /proc y un poco de suerte, probablemente podamos recuperar el fichero que por arte de magia desaparecio de vuestro sistema cuando lo borrasteis accidentalmente. La 'poca de suerte' de la que hablamos es que el fichero que habeis borrado estuviese siendo accedido por un programa en el momento de realizar la operacion de borrado. A continuacion vamos a ver un ejemplo de como podemos realizar esta recuperacion.
    Primero vamos a ver un poco como podemos acceder a la informacion o estatus de un fichero. Para esto podemos utilizar el programa de sistema stat. Veamos como funciona:
    Primero creamos un fichero de texto:
    user@test# echo "ESTO ES UN FICHERO DE TEXTO DE PRUEBAS" > fichero_pruebas.txt
    A continuacion podemos usar stat para obtener la informacion de este fichero:
    user@test# stat fichero_pruebas.txt
    File: `fichero_pruebas.txt'
    Size: 39              Blocks: 8          IO Block: 4096   regular file
    Device: 301h/769d       Inode: 512495      Links: 1
    Access: (0644/-rw-r--r--)  Uid: (    1000/    user)   Gid: (    1000/    user)
    Access: 2008-02-04 22:28:57.000000000 +0100
    Modify: 2008-02-04 22:28:57.000000000 +0100
    Change: 2008-02-04 22:28:57.000000000 +0100
    Alguna de esta informacion tambien la podriamos haber obtenido usando el comando ls:
    user@test# ls -li fichero_pruebas.txt 512495 -rw-r--r-- 1 root root 39 2008-02-04 22:28 fichero_pruebas.txt
    De toda esta informacion, la que nos interesa en este articulo es la denominada Inode. Segun Wikipedia, un inodo (inode en ingles) se puede definir como:
    "... una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. Un inodo contiene las características (permisos, fechas, ubicación, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros.
    El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares, directorios, y enlaces simbólicos. El concepto es particularmente importante para la recuperación de los sistemas de archivos dañados.
    Cada inodo queda identificado por un número entero, único dentro del sistema de ficheros, y los directorios recogen una lista de parejas formadas por un número de inodo y nombre identificativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo, pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar su localización."
    En nuestro caso el inodo de nuestro fichero es 512495, este es el identificador de nuestro fichero en el sistema. Cuando borramos un fichero con el comando rm, lo que hacemos es borrar la referencia al inodo en cuestion, durante un tiempo dicho inodo seguira existiendo en nuestro sistema aunque no podamos verlo y parezca que el fichero borrado ha desaparecido de nuestro sistema.
    Si algun programa esta accediendo el fichero que hemos borrado, estamos de suerte. El programa en cuestion tendra una referencia al inode del fichero borrado y siempre que no cerremos este programa podremos recuperar el contenido de dicho fichero. (Un caso practico que a muchos nos a pasado alguna vez es el borrar el fichero log de algun servicio del sistema (apache, postgresql, mysql. etc) mientras que el servicio esta funcionando)
    A continuacion presentamos una session completa desde que borramos un fichero hasta que lo recuperamos:
    Abrimos nuestro fichero ejemplo con less (por ejemplo)
    user@test# less fichero_pruebas.txt  ESTO ES UN FICHERO DE TEXTO DE PRUEBAS fichero_pruebas.txt (END)
    Pulsamos Ctrl+z para suspender el programa less sin pararlo (el programa seguira abierto, accediendo nuestro fichero, pero suspendido)
    user@test# less fichero_pruebas.txt  [1]+  Stopped                 less fichero_pruebas.txt
    Comprobamos que nuestro fichero sigue intacto:
    user@test# ls -li fichero_pruebas.txt 512495 -rw-r--r-- 1 root root 39 2008-02-04 22:28 fichero_pruebas.txt
    Lo borramos ... accidentalmente ;-)
    user@test# rm ficheros_de prueba.txt
    Comprobamos que no existe en nuestro directorio
    user@test#  ls -li fichero_pruebas.txt ls: fichero_pruebas.txt: No such file or directory
    Como hemos comentado mas arriba, si tenemos un programa accediendo el fichero estamos de suerte. Utilizamos lsof para ver si algun programa esta accediendo el fichero que hemos borrado:
    user@test# lsof |grep fichero_pruebas.txt
    less      28410        user    4r      REG        3,1         39     512495 /home/user/fichero_pruebas.txt (deleted)
    No deberia de ser una sorpresa que nuestro programa less este accediendo nuestro fichero borrado. Las columnas que nos interesan de esta linea son la primera (PID del programa accediendo el fichero, 28410), y la cuarta, el 'file descriptor' (4r) con la referencia al inodo de nuestro fichero (512495).
    Con esta informacion nos vamos al sistema de ficheros virtual /proc con informacion de nuestro sistema linux.
    user@test# ls -l /proc/28410/fd/4 lr-x------ 1 user user 64 2008-02-04 22:38 /proc/28410/fd/4 -> /home/user/fichero_pruebas.txt (deleted)
    Como era de esperar, una referencia al fichero borrado. Lo unico que tenemos que hacer ahora es copiar los datos a los que /proc/28410/fd/4 esta haciendo referencia. Para esto podemos utilizar simplemente el comando cp
    user@test# cp /proc/28410/fd/4 fichero_pruebas.txt.restaurado
    Ahora no importa que nuestro programa less termine de ejecutarse, porque nuestro fichero borrado ya esta recuperado.
    user@test# cat fichero_pruebas.txt.restaurado ESTO ES UN FICHERO DE TEXTO DE PRUEBA

  • ..

No hay comentarios: