檔案系統安全和日誌分析

2021-10-07 14:39:38 字數 3856 閱讀 3947

1、inode和block概述

#####ext 型別檔案恢復#####

刪除乙個檔案,實際上並不清除 inode 節點和 block 的資料,只是在這個檔案的父目錄 裡面的 block 中,

刪除這個檔案的名字。linux 是通過 link 的數量來控制檔案刪除的,只有 當乙個檔案不存在任何 link 的時候,

這個檔案才會被刪除。 在 linux 系統運維工作中,經常會遇到因操作不慎、操作錯誤等導致檔案資料丟失的情 況,

尤其對於客戶企業中一些新手。當然,這裡所指的是徹底刪除,即已經不能通過「** 站」找回的情況,

比如使用「rm -rf」來刪除資料。針對 linux 下的 ext 檔案系統,可用的恢復工具有 debugfs、ext3grep、extundelete 等。

其中 extundelete 是乙個開源的 linux 資料 恢復工具,支援 ext3、ext4 檔案系統。

在資料被誤刪除後,第一時間要做的就是解除安裝被刪除資料所在的分割槽,如果是根分割槽的 資料遭到誤刪,

就需要將系統進入單使用者模式,並且將根分割槽以唯讀模式掛載。這樣做的原 因很簡單,因為將檔案刪除後,

僅僅是將檔案的 inode 節點中的扇區指標清零,實際檔案還 儲存在磁碟上,如果磁碟繼續以讀寫模式掛載,

這些已刪除的檔案的資料塊就可能被作業系統重新分配出去,在這些資料庫被新的資料覆蓋後,

這些資料就真的丟失了,恢復工具也回 天無力。所以以唯讀模式掛載磁碟可以盡量降低資料庫中資料被覆蓋的風險,

以提高恢復數 據成功的比例。

下面將介紹使用 extundelete 工具如何恢復誤刪除的檔案。

1.編譯安裝 extundelete

在編譯安裝 extundelete 之前需要先安裝兩個依賴包 e2fsprogs-libs 和 e2fsprogs-devel,

這兩個包在系統安裝光碟的/package 目錄下就有,使用 rpm 或 yum 命令將其安裝。

e2fsprogs-devel 安裝依賴於 libcom_err-devel 包。 安裝完依賴包之後,

即可將提前上傳的 extundelete 軟體包解壓、配置、編譯、安裝

[root@localhost opt]# yum -y install e2fsprogs-devel e2fsprogs-libs

已載入外掛程式:fastestmirror, langpacks

loading mirror speeds from cached hostfile

file:///mnt/repodata/repomd.xml: [errno 14] curl#37 - 「couldn』t open file /mnt/repodata/repomd.xml」

正在嘗試其它映象。

軟體包 e2fsprogs-libs-1.42.9-13.el7.x86_64 已安裝並且是最新版本

正在解決依賴關係

–> 正在檢查事務

—> 軟體包 e2fsprogs-devel.x86_64.0.1.42.9-13.el7 將被 安裝

–> 正在處理依賴關係 libcom_err-devel(x86-64) = 1.42.9-13.el7,它被軟體包 e2fsprogs-devel-1.42.9-13.el7.x86_64 需要

–> 正在處理依賴關係 pkgconfig(com_err),它被軟體包 e2fsprogs-devel-1.42.9-13.el7.x86_64 需要

–> 正在檢查事務

—> 軟體包 libcom_err-devel.x86_64.0.1.42.9-13.el7 將被 安裝

–> 解決依賴關係完成

依賴關係解決

正在安裝:

e2fsprogs-devel x86_64 1.42.9-13.el7 centosplus 72 k

為依賴而安裝:

libcom_err-devel x86_64 1.42.9-13.el7 centosplus 31 k

安裝 1 軟體包 (+1 依賴軟體包)

裝一下wget軟體

100%[***********************************===>] 108,472 8.44kb/s 用時 13s

2020-06-23 22:12:58 (8.44 kb/s) - 已儲存 「extundelete-0.2.4.tar.bz2」 [108472/108472])

安裝bzip2

php檔案意外結束 檔案系統安全之檔案包含

檔案包含漏洞 lfi本地檔案包含,rfi遠端檔案包含 的產生原因 程式開發 員通常會把可重複使 函式寫到單個 件中,在使 某個函式的時候,直接調 此 件,需再次編寫,這種調 件的過程通常稱為包含。程式開發 員都希望 更加靈活,所以會把被包含的 件的路徑設定為變數,來進 動態調 但是正是由於這種靈活性...

Linux 檔案系統與日誌分析

檔案資料報括元資訊與實際資料 檔案儲存在硬碟上,硬碟最小儲存單位事 扇區 每個扇區儲存512位元組 block 塊 連續的八個扇區組成乙個block 是檔案訪問的最小單位 inode 索引節點 中文譯名為 索引節點 也叫i節點 用於儲存檔案元資訊 inode包含檔案的元資訊 檔案的位元組數 檔案擁有...

檔案路徑雙正斜槓 檔案系統安全之檔案包含

檔案包含漏洞 lfi本地檔案包含,rfi遠端檔案包含 的產生原因 程式開發 員通常會把可重複使 函式寫到單個 件中,在使 某個函式的時候,直接調 此 件,需再次編寫,這種調 件的過程通常稱為包含。程式開發 員都希望 更加靈活,所以會把被包含的 件的路徑設定為變數,來進 動態調 但是正是由於這種靈活性...