在介绍恢复过程之前先简单说明一下故障情况,发生故障的是一台IBM X3850服务器,这个服务器是由4块146G SAS硬盘组成的RAID5作为存储介质,操作系统是SUSE LINUX,文件系统全都是reiserfs。我们首先经过分析发现了之前的硬盘数据组织结构是由一个不到100M的boot分区,后接一个271G的LVM卷,之后是2G的swap分区。LVM卷中直接划分了一个reiserfs文件系统,作为根分区。
用户在使用的过程中,系统遭遇了未知的原因而瘫痪,经过系统的冲撞以后发现整个RAID逻辑卷变成了前面2G的boot与swap分区,后接271G的LVM卷,LVM卷中文件系统位置有个空的reiserfs超级块。
我们这次要恢复的数据就是原来271G中文件系统里的所有用户数据,这些数据包含了MYSQL数据库、PGSQL数据库、网站程序与网页、单位OA系统里的所有办公文档。
我们先通过对全盘reiserfs树节点之间的关联确定了原来的reiserfs分区位置,发现原来存储数据的文件系统的前2G数据已经被覆盖,应该是用户在安装系统时错误地初始化了分区结构,所以装好系统无法导入LVM卷而做过reiserfsck试图修复。因reiserfs文件系统对文件系统里所有的文件(含目录)线性化后,再以文件key生成B+树,树不断增加节点会导致树的结构整体拉展后向整个磁盘的数据区做平滑迁移。这样一来顶级节点通常不会放在文件系统的最前面。因根目录的文件KEY号通常是最小的,所以,从空间上看,前2G中存储最多的应该是从根起始路径最近的key节点,这样,用户数据因目录层次较深,节点存在的可能性很高。前2G覆盖的数据已经无法恢复,只能希望不要恰好覆盖用户数据。因文件系统前面对整个树的索引全丢失,加上reiserfs的树概念设计得很抽象,重搭建树会很困难。
我们通过自主程序在整个原文件系统区域进行key节点扫描并将所有节点导出。然后通过自主程序对所有叶节点重新排序、过滤(去掉之前删除文件丢弃的节点),重新生成二级、三级、四级等叶节点。选择分区前面2G空间做为新树的结构区(反正这部分数据是没用的了,重装系统已经装得满满的),并生成对应地址信息。应对目录命名问题,如遇到原树路径某节点丢失的情况,对其用自定义的key节点编号命名,如无法确定其父目录,暂加入/otherfiles下。根据上面对,生成树索引信息,写入特定位置,再根据这些信息,生成超级块,设置clear标志。在suse虚拟机下,创建快照,挂载修复好的卷,已经可以看到文件了。(注:虚拟机与快照的目的为了操作可加溯,同时因bitmap等元数据不影响数据,未做修正,故挂载前不可做reiserfsck)。在修复用的suse虚拟机下,挂载用于copy数据的目标硬盘,mkfs后将所有数据cp到目标盘。用户通过find命令整理所需数据,修正部分目录文件位置与名称。部分丢失的散文件,按大小与文件头标志查找,找到后移动及重命名。
幸运的是所有的重要数据100%都被我们找到了。树的不直观性加上程序的调试,使得整个恢复工作异常繁杂,在繁乱的信息树中跟来跟去,真是烦人得很,幸好撑下来了。繁锁的数据恢复分析工作真不是人干的。
。。。
应该让机器干 ^_^
