CentOS回收站删除文件后如何追踪

CentOS回收站删除文件后的追踪与恢复

一 先确认删除方式与回收站位置

• 若是通过桌面文件管理器（如 Nautilus/GNOME）删除，文件会进入用户主目录的回收站：~/.local/share/Trash/，其中包含两个子目录：
  • files：存放被删除的实际文件/目录
  • info：存放元数据（如 DeletionDate、Path），可用命令查看：
    • 列出回收站内容：trash-list
    • 查看某条记录的详细信息：trash-info <文件名或路径>
• 若是通过命令行执行 rm 删除，文件不会进入回收站，属于直接删除，无法从回收站恢复。
• 若曾安装并使用 trash-cli，可用 trash-list --verbose 查看删除时间与原始路径。
  以上路径与工具行为符合 FreeDesktop.org 回收站规范。

二 回收站已被清空时的“追踪”与取证思路

• 查看系统日志，寻找删除相关的线索（是否有删除动作、涉及路径、时间等）：
  • 示例：grep -i delete /var/log/messages 或 grep -i delete /var/log/syslog（不同发行版日志路径可能不同）。
• 检查是否仍有进程占用已删除文件的文件描述符（文件虽被删除，但句柄未释放）：
  • lsof | grep deleted
  • find /proc/*/fd -ls 2>/dev/null | grep deleted
  • fuser -m /path/to/mount（定位占用某挂载点的进程）
• 若文件已被进程打开，可通过 /proc/<PID>/fd/<FD> 复制出尚未被覆盖的内容（示例）：
  • cp /proc/<PID>/fd/<FD> /safe/path/recovered_file
• 注意：以上只能“追踪”到删除痕迹或抢救尚未释放的数据，不能保证恢复所有已清空回收站的文件。

三 文件系统的专业恢复途径（适用于ext3/ext4）

• 立即停止对目标分区的写入，优先在只读方式或另一块磁盘上操作，避免覆盖已删除数据块。
• 使用 extundelete（适用于 ext3/ext4）：
  • 安装：sudo yum install e2fsprogs* gcc gcc-c++（编译依赖）
  • 恢复示例：
    • 扫描分区：extundelete /dev/sdXN --inode 2
    • 恢复单个文件：extundelete /dev/sdXN --restore-file /path/to/file
    • 恢复整个分区：extundelete /dev/sdXN --restore-all
  • 恢复结果默认生成在 RECOVERED_FILES/ 目录。
• 使用 TestDisk（支持多文件系统与分区恢复）：
  • 安装：sudo yum install testdisk
  • 运行 testdisk，按向导选择磁盘/分区，执行 Analyse/Advanced 扫描，预览并勾选需要恢复的文件，复制到安全目录。
• 恢复成功率取决于是否已被新数据覆盖，建议尽快尝试。

四 预防与后续建议

• 统一用回收站工具替代 rm：安装并使用 trash-cli，常用命令：
  • 放入回收站：trash-put <文件/目录>
  • 列出回收站：trash-list
  • 交互式恢复：trash-restore
  • 按时间清理：trash-empty 10（清理超过 10 天的项目）
• 若之前使用 rm，建议建立安全删除习惯（如自定义别名或包装脚本），或在关键目录启用快照/备份（如 LVM 快照、rsync、borgbackup）。