業(yè)內(nèi)新聞

NAS 存儲 XFS文件系統(tǒng)數(shù)據(jù)恢復案例

一般情況下，XFS文件系統(tǒng)刪除文件以后是可以恢復的，數(shù)據(jù)能恢復的前提是刪除文件以后，沒有新的數(shù)據(jù)寫入，本案例中存在新文件寫入的情況，所以數(shù)據(jù)恢復效果要等數(shù)據(jù)恢復進行后才能確定。
　　最近接到UIT統(tǒng)一存儲 NAS存儲故障咨詢電話，以下是華軍數(shù)據(jù)恢復工程師提供的數(shù)據(jù)恢復方案。

故障描述及檢測結(jié)果：

OAftp文件目錄出現(xiàn)異常,有些目錄下大部分文件丟失,還有少量文件能訪問，有些目錄下會創(chuàng)建一些新的以WZ開頭的文件。初步判斷，文件系統(tǒng)沒有損壞，有可能是服務(wù)器漏洞導致，這個漏洞包括Linux系統(tǒng)漏洞和Web站點漏洞，有些Web站點有網(wǎng)頁文件管理器，可以直接對磁盤文件進行刪除等操作。真正的原因要等到數(shù)據(jù)恢復進行后才能確認?！∫话闱闆r下，XFS文件系統(tǒng)刪除文件以后是可以恢復的，數(shù)據(jù)能恢復的前提是刪除文件以后，沒有新的數(shù)據(jù)寫入，本案例中存在新文件寫入的情況，所以數(shù)據(jù)恢復效果要等數(shù)據(jù)恢復進行后才能確定。

數(shù)據(jù)恢復解決方案：

本案例邏輯上由一個24TB和一個12TB的物理存儲，經(jīng)過Linux下的LVM磁盤管理方式組成一個分區(qū)(LV)提供給用戶使用，現(xiàn)在已經(jīng)把這兩個物理存儲單獨鏡像出來了，鏡像放在新的存儲中，所以數(shù)據(jù)恢復操作在鏡像的硬盤中進行，不涉及原始數(shù)據(jù)。數(shù)據(jù)恢復技術(shù)難點有兩個：

1、LVM管理的兩個物理存儲怎樣連接成一個36TB的分區(qū)(LV)，X-Ways Forensics數(shù)據(jù)恢復軟件能實現(xiàn)LVM信息正常讀取，并進行數(shù)據(jù)恢復;

2、XFS文件系統(tǒng)下數(shù)據(jù)丟失以后，要分析出數(shù)據(jù)丟失原因：一個是文件被刪除;另一個是文件系統(tǒng)損壞引起的。X-Ways Forensics數(shù)據(jù)恢復可以恢復刪除文件和文件系統(tǒng)損壞后的數(shù)據(jù)。

3、對于XFS文件系統(tǒng)下的數(shù)據(jù)丟失，華軍可以有針對性的查詢并恢復。

XFS常識

XFS是一個高效的64位文件系統(tǒng)，由SGI開發(fā)，原用在IRIX中，后移植到LINUX上，由于SGI出身于圖形多媒體設(shè)計，所以其文件系統(tǒng)具在很強的對大量數(shù)據(jù)的處理能力，在處理大量文件、節(jié)點時性能下降很低，完全領(lǐng)先于EXT3，并與REISERFS有的一拼。現(xiàn)在許多基于LINUX和FREEBSD的NAS（由于LINUX/FREEBSD的開源性，實際上非LINUX/FREEBSD的NAS只占很少一部分）選擇文件系統(tǒng)時，很有可能會選擇XFS。
XFS文件系統(tǒng)上的數(shù)據(jù)恢復可麻煩多了。目前市面上沒有基于XFS的數(shù)據(jù)恢復軟件，跨平臺的XFS讀取軟件只有XFS32，但功能非常有限，而且只限于目錄、節(jié)點是正常的情況。據(jù)我對其源代碼的分析，讀取效率也是比較低的。SGI官方對于XFS的詳細結(jié)構(gòu)層的描述極少，有的只是FOR LINUX的源代碼。這樣對于XFS文件系統(tǒng)損壞，使用XFS REPAIR又無法修復的情況，就很麻煩了。

聯(lián)系我們

辦公地址：杭州市西湖區(qū)教工路23號百腦匯科技大廈13樓1309室