LinuxParty

¿Te pasó esto alguna vez? Se dio cuenta de que había borrado un archivo por error, ya sea a través de la tecla Supr o usando rm en la línea de comando.

En el primer caso, siempre puede ir a la Papelera, buscar el archivo y restaurarlo a su ubicación original. ¿Pero qué hay del segundo caso? Como estoy seguro de que probablemente sepa, la línea de comandos de Linux no envía archivos eliminados a ningún lado, los ELIMINA. Se fueron.

Recuperar ficheros borrados en Linux con Scalpel

En este artículo, compartiremos un consejo que puede ser útil para evitar que esto le suceda, y una herramienta que puede considerar usar si en algún momento usted es lo suficientemente descuidado como para hacerlo de todos modos.

Creando un alias para 'rm -i'

El switch -i, cuando se usa con rm (y también otras herramientas de manipulación de archivos como cp o mv ) hace que aparezca un mensaje antes de eliminar un archivo.

Lo mismo se aplica a copiar, mover o cambiar el nombre de un archivo en una ubicación donde ya existe uno con el mismo nombre.

Este aviso le da una segunda oportunidad para considerar si realmente desea eliminar el archivo; si confirma la solicitud, desaparecerá. En ese caso, lo siento, pero este consejo no lo protegerá de su propio descuido.

Para reemplazar rm con un alias a 'rm -i' , haga lo siguiente:

 alias rm='rm -i'

El comando alias confirmará que rm ahora tiene un alias:

Añadir comando Alias ​​rm

Sin embargo, esto solo durará durante la sesión de usuario actual en la shell actual. Para que el cambio sea permanente, deberá guardarlo en ~/.bashrc (algunas distribuciones pueden usar ~/.profile en su lugar) como se muestra a continuación:

Agregar alias permanentemente en Linux

Para que los cambios en ~/.bashrc (o ~/.profile ) surtan efecto de inmediato, ~/.profile escriba:

 .~/.bashrc

Alias ​​activo en Linux

La herramienta forense - Foremost

Con suerte, tendrá cuidado con sus archivos y solo necesitará usar esta herramienta mientras recupera un archivo perdido de un disco externo o unidad USB.

Sin embargo, si se da cuenta de que accidentalmente eliminó un archivo en su sistema y entrará en pánico, no lo haga. Echemos un vistazo a lo más destacado, una herramienta forense que fue diseñada para este tipo de escenarios.

Para instalarlo en CentOS / RHEL 7 , primero deberá habilitar Repoforge :

# rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
# yum install foremost

Mientras que en Debian y derivados, sólo haga:

# aptitude install foremost

Una vez que la instalación se haya completado, procedamos con una prueba simple. Comenzaremos por eliminar un archivo de imagen, un fichero llamado nosdos.jpg del directorio /boot/images :

# cd images
# rm nosdos.jpg

Para recuperarlo, utilice primero como se indica a continuación (primero deberá identificar la partición subyacente - /dev/sda1 en este caso, que es donde está /boot -para este ejemplo-):

 # foremost -t jpg -i /dev/sda1 -o /home/javier/rescatado

donde /home/javier/rescatado es un directorio en un disco separado --tenga en cuenta que la recuperación de archivos en la misma unidad donde se ubicaron los eliminados no es una decisión inteligente--.

Si, durante la recuperación, ocupa los mismos sectores de disco donde solían estar los archivos eliminados, puede que no sea posible recuperar nada. Además, es esencial detener todas sus actividades antes de realizar la recuperación.

Después de que la mayoría haya terminado de ejecutarse, el archivo recuperado (si la recuperación fue posible) se encontrará dentro del directorio /home/javier/rescatado/jpg .

Resumen

En este artículo, explicamos cómo evitar la eliminación accidental de un archivo y cómo intentar recuperarlo si se produce un evento no deseado. Sin embargo, ten en cuenta que, antes que nada, puede tardar bastante tiempo en ejecutarse según el tamaño de la partición.