datarecovery blog

Linux文件系统的反删除方法

mydatah2 — Thu, 12 Jun 2008 15:27:43 +0000

作为一个多用户、多任务的操作系统，Linux下的文件一旦被删除，是难以恢复的。尽管删除命令只是在文件节点中作删除标记，并不真正清除文件内容，但是其他用户和一些有写盘动作的进程会很快覆盖这些数据。不过，对于家庭单机使用的Linux，或者误删文件后及时补救，还是可以恢复的。

1．Ext2文件系统结构的简单介绍
在Linux所用的Ext2文件系统中，文件是以块为单位存储的，默认情况下每个块的大小是1K，不同的块以块号区分。每个文件还有一个节点，节点中包含有文件所有者，读写权限，文件类型等信息。对于一个小于12个块的文件，在节点中直接存储文件数据块的块号。如果文件大于12个块，那么节点在12个块号之后存储一个间接块的块号，在这个间接块号所对应的块中，存储有256个文件数据块的块号（Ext2fs中每个块号占用4字节，这样一个块中所能存储的块号就是1024/4=256）。如果有更大的文件，那么还会在节点中出现二级间接块和三级间接块。

2。恢复被误删文件的方法
大多数Linux发行版都提供一个debugfs工具，可以用来对Ext2文件系统进行编辑操作。不过在使用这个工具之前，还有一些工作要做。
首先以只读方式重新挂载被误删的文件所在分区。使用如下命令：（假设文件在/usr分区）
mount –r –n –o remount /usr
-r表示只读方式挂载；-n表示不写入/etc/mtab，如果是恢复/etc上的文件，就加上这个参数。如果系统说xxx partion busy，可以用fuser命令查看一下是哪些进程使用这个分区上的文件：
fuser –v –m /usr
如果没有什么重要的进程，用以下命令停掉它们：
fuser -k –v –m /usr
然后就可以重新挂载这些文件系统了。
如果是把所有的文件统一安装在一个大的/分区当中，可以在boot提示符下用linux single进入单用户模式，尽量减少系统进程向硬盘写入数据的机会，要不干脆把硬盘挂在别的机器上。另外，恢复出来的数据不要写到/上面，避免破坏那些有用的数据。如果机器上有dos/windows，可以写到这些分区上面：
mount –r –n /dev/hda1 /mnt/had
然后就可以执行debugfs：（假设Linux在 /dev/hda5）
#debugfs /dev/hda5
就会出现debugfs提示符debugfs：
使用lsdel命令可以列出很多被删除的文件的信息：
debugfs：lsdel
debugfs: 2692 deleted inodes found.
Inode Owner Mode Size Blocks Time deleted
164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001
…………………………………………………………………………………
36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001
196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001

debugfs:
列出的文件有很多（这里找到2692个），第一字段是文件节点号，第二字段是文件所有者，第三字段是读写权限，接下来是文件大小，占用块数，删除时间。然后就可以根据文件大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件：
可以先看看文件数据状态：
debugfs：stat
Inode: 196829 Type: regular Mode: 0644 Flags: 0×0 Version: 1
User: 0 Group: 0 Size: 149500
File ACL: 0 Directory ACL: 0
Links: 0 Blockcount: 38
Fragment: Address: 0 Number: 0 Size: 0
ctime: 0×31a9a574 — Mon May 27 13:52:04 2001
atime: 0×31a21dd1 — Tue May 21 20:47:29 2001
mtime: 0×313bf4d7 — Tue Mar 5 08:01:27 2001
dtime: 0×31a9a574 — Mon May 27 13:52:04 2001
BLOCKS:
594810 594811 594814 594815 594816 594817 ………………………………….
TOTAL: 38
然后就可以用dump指令恢复文件：
debugfs：dump /mnt/hda/01.sav
这样就把文件恢复出来了。退出debugfs：
debugfs：quit
另一种方法是手工编辑inode：
debugfs：mi
Mode [0100644]
User ID [0]
Group ID [0]
Size [149500]
Creation time [0x31a9a574]
Modification time [0x31a9a574]
Access time [0x31a21dd1]
Deletion time [0x31a9a574] 0
Link count [0] 1
Block count [38]
File flags [0x0]
Reserved1 [0]
File acl [0]
Directory acl [0]
Fragment address [0]
Fragment number [0]
Fragment size [0]
Direct Block #0 [594810]
…………………………….
Triple Indirect Block [0]
使用mi指令后每次显示一行信息以供编辑，其它行可以直接按回车表示确认，把deletion time改成0（未删除），Link count改成1。改好后退出debugfs：
debugfs：quit
然后用fsck检查/dev/hda5
fsck /dev/hda5
程序会说找到丢失的数据块，放在lost+found里面。这个目录里的文件就是我们要的东东。
Related Topics:

ShareThis

Oracle数据库安全性管理基本措施简介

mydatah2 — Sat, 24 May 2008 18:13:16 +0000

数据安全性是指保护数据以防止非法的使用，避免造成数据有意或无意的丢失、泄露或破坏。由于数据库系统中集中存放有大量的数据，这些数据又为众多用户所共享，所以安全约束是一个极为突出的问题。

Oracle数据库系统在实现数据库安全性管理方面采取的基本措施有：

◆通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作。

◆授予用户一定的权限，例如connect，resource等，限制用户操纵数据库的权力。

◆授予用户对数据库实体(如表、表空间、过程等)的存取执行权限，阻止用户访问非授权数据。

◆提供数据库实体存取审计机制，使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况。

◆采用视图机制，限制存取基表的行和列集合。

在实际应用中，许多系统往往采用假用户(即非数据库用户)身份来管理，而真实用户的身份和登录口令就隐藏在应用系统中，或经过各种压缩加密等处理的配置文件中。但这样往往留下隐患，只要从分析应用程序入手，最终会分析出系统使用的数据库用户和口令，那么其安全性也就消失了。另一方面，系统代码是程序员写出来的，如果程序员有破坏意图，这种模式没有一丝的安全，因为他通过自己掌握的代码不经分析就轻而易举的获得登录用的数据恢复库用户和口令。

而采用真实数据库用户，存在着权限分配上的难度，特别是用户数和应用表数都很多时，这时必然要使用角色来管理应用权限的分配。当然不能直接将权限或角色直接分配给用户，否则用户可以不同过应用系统，而采用SQL*PLUS等前端工具进入系统，进行一些没有经过应用系统检查的操作，产生的结果可能不符合应用逻辑。

我们在实践中发现，可以采用另一种方式利用角色功能，来防止上面出现的安全“漏洞”。在这种方式下，用户采用自己的标识和口令注册，但在未得到授权的角色前，是没有操纵数据库的任何权限。而授权用户使用的角色是埋在应用程序中的，只有应用程序才知道角色的名称和口令，从而激活角色，使用户拥有相应的权限。在应用系统之外，用户可以连接到Oracle，但没有激活相应的角色，他是不能做任何事情的，而开发人员不知道用户的标识和口令，他没有办法登录到Oracle，即使他能够推算出角色的标识和口令。
以下继续。先吃饭去了。一会儿再说。以下继续。累啊，打了半天字，手都麻了。休息再来接着说。好累，歇歇再说。。。。。以下继续。休息再来接着说。
下面根据一个例子给出具体的实现过程：

我们假设用户xiayan在工作中能够对工资表account.paytable(account是表paytable的拥有者)有查询和更新的权限，而这些权限我们不直接授予xiayan，而是构造一个角色(比如考勤员checkerrole)，这个角色恰好适合于xiayan，再将角色授予xiayan，但角色在激活时需要口令，该口令不对xiayan公开。每个用户需要一个缺省的角色，是用户连接到Oracle时的缺省角色。这个角色只有connect权限，我们假为defaultrole。

下面给出具体的操作SQL。

(1)设定各种角色及其权限

CREATE ROLE checkerrole IDENTIFIEDBYxm361001; CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole; GRANTSELECT,UPDATEONaccount.paytableTOcheckerrole; GRANTCONNECTTOdefaultrole;

(2)创建用户

CREATEUSERxiayanIDENTIFIEDBYxiayan;

(3)授权

GRANTcheckerroleTOxiayan; GRANTdefaultroleTOxiayan;

(4)设定用户缺省的角色

ALTERUSERxiayanDEFAULTROLEdefaultrole;

(5)注册过程

CONNECTxiayan/xiayan@Oracle

此时用户只有其缺省角色的权限。

(6)激活角色

SETROLEcheckerroleIDENTIFIEDBYxm361001;

操作成功后，xiayan拥有checkerrole的权限。

这里的角色和口令是固定的，在数据恢复应用系统中可以由应用管理人员自行设置则更为方便安全。

Related Topics:

ShareThis

Hello world!

mydatah2 — Sun, 04 May 2008 13:36:58 +0000

Welcome to wpbloger.com. This is your first post. Edit or delete it, then start blogging!

ShareThis