Viernes 11 de Octubre de 2013

Profundidad de navegación: Principal / Soluciones

Recuperando ficheros borrados con un poco de suerte, lsof y /proc

¿Alguna vez habeis borrado un fichero por equivocacion desde consola, cuando estabais trabajando con el? Supongo que habeis echado mil maldiciones por la equivocacion y el tiempo perdido cuando esto os ha pasado.
En este articulo vamos a hablar de la utilidad 'lsof'. Con este programa, la informacion en /proc y un poco de suerte, probablemente podamos recuperar el fichero que por arte de magia desaparecio de vuestro sistema cuando lo borrasteis accidentalmente. La 'poca de suerte' de la que hablamos es que el fichero que habeis borrado estuviese siendo accedido por un programa en el momento de realizar la operacion de borrado. A continuacion vamos a ver un ejemplo de como podemos realizar esta recuperacion.

Primero vamos a ver un poco como podemos acceder a la informacion o estatus de un fichero. Para esto podemos utilizar el programa de sistema stat. Veamos como funciona:

Primero creamos un fichero de texto:

# echo "ESTO ES UN FICHERO DE TEXTO DE PRUEBAS" > fichero_pruebas.txt

A continuacion podemos usar stat para obtener la informacion de este fichero:

# stat fichero_pruebas.txt
File: `fichero_pruebas.txt'
Size: 39 Blocks: 8 IO Block: 4096 regular file
Device: 301h/769d Inode: 512495 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 1000/ user) Gid: ( 1000/ user)
Access: 2008-02-04 22:28:57.000000000 +0100
Modify: 2008-02-04 22:28:57.000000000 +0100
Change: 2008-02-04 22:28:57.000000000 +0100

Alguna de esta informacion tambien la podriamos haber obtenido usando el comando ls:

# ls -li fichero_pruebas.txt
512495 -rw-r--r-- 1 root root 39 2008-02-04 22:28 fichero_pruebas.txt

De toda esta informacion, la que nos interesa en este articulo es la denominada Inode. Segun Wikipedia, un inodo (inode en ingles) se puede definir como:

"... una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. Un inodo contiene las características (permisos, fechas, ubicación, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros.

El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares, directorios, y enlaces simbólicos. El concepto es particularmente importante para la recuperación de los sistemas de archivos dañados.

Cada inodo queda identificado por un número entero, único dentro del sistema de ficheros, y los directorios recogen una lista de parejas formadas por un número de inodo y nombre identificativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo, pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar su localización."

En nuestro caso el inodo de nuestro fichero es 512495, este es el identificador de nuestro fichero en el sistema. Cuando borramos un fichero con el comando rm, lo que hacemos es borrar la referencia al inodo en cuestion, durante un tiempo dicho inodo seguira existiendo en nuestro sistema aunque no podamos verlo y parezca que el fichero borrado ha desaparecido de nuestro sistema.

Si algun programa esta accediendo el fichero que hemos borrado, estamos de suerte. El programa en cuestion tendra una referencia al inode del fichero borrado y siempre que no cerremos este programa podremos recuperar el contenido de dicho fichero. (Un caso practico que a muchos nos a pasado alguna vez es el borrar el fichero log de algun servicio del sistema (apache, postgresql, mysql. etc) mientras que el servicio esta funcionando)

A continuacion presentamos una session completa desde que borramos un fichero hasta que lo recuperamos:

Abrimos nuestro fichero ejemplo con less (por ejemplo)

# less fichero_pruebas.txt

ESTO ES UN FICHERO DE TEXTO DE PRUEBAS
fichero_pruebas.txt (END)

Pulsamos Ctrl+z para suspender el programa less sin pararlo (el programa seguira abierto, accediendo nuestro fichero, pero suspendido)

# less fichero_pruebas.txt

[1]+ Stopped less fichero_pruebas.txt

Comprobamos que nuestro fichero sigue intacto:

# ls -li fichero_pruebas.txt
512495 -rw-r--r-- 1 root root 39 2008-02-04 22:28 fichero_pruebas.txt

Lo borramos ... accidentalmente ;-)

# rm ficheros_de prueba.txt

Comprobamos que no existe en nuestro directorio

# ls -li fichero_pruebas.txt
ls: fichero_pruebas.txt: No such file or directory

Como hemos comentado mas arriba, si tenemos un programa accediendo el fichero estamos de suerte. Utilizamos lsof para ver si algun programa esta accediendo el fichero que hemos borrado:

# lsof |grep fichero_pruebas.txt
less 28410 user 4r REG 3,1 39 512495 /home/user/fichero_pruebas.txt (deleted)

No deberia de ser una sorpresa que nuestro programa less este accediendo nuestro fichero borrado. Las columnas que nos interesan de esta linea son la primera (PID del programa accediendo el fichero, 28410), y la cuarta, el 'file descriptor' (4r) con la referencia al inodo de nuestro fichero (512495).

Con esta informacion nos vamos al sistema de ficheros virtual /proc con informacion de nuestro sistema linux.

# ls -l /proc/28410/fd/4
lr-x------ 1 user user 64 2008-02-04 22:38 /proc/28410/fd/4 -> /home/user/fichero_pruebas.txt (deleted)

Como era de esperar, una referencia al fichero borrado. Lo unico que tenemos que hacer ahora es copiar los datos a los que /proc/28410/fd/4 esta haciendo referencia. Para esto podemos utilizar simplemente el comando cp

# cp /proc/28410/fd/4 fichero_pruebas.txt.restaurado

Ahora no importa que nuestro programa less termine de ejecutarse, porque nuestro fichero borrado ya esta recuperado.

# cat fichero_pruebas.txt.restaurado
ESTO ES UN FICHERO DE TEXTO DE PRUEBAS

En este articulo hay que tener un poco de suerte para no perder nuestro fichero, pero en futuros articulos veremos otras tecnicas a usar cuando la suerte no esta de nuestro lado. Esto es todo por hoy, que lo disfruteis.

Etiquetas: Manuales

Fecha: 25/06/2009