全部块可划分为四个部分，块0称为引导块，文件系统不用该块;块1称为专用块，专用块含有许多信息，其中有磁盘大小和全部块的其他两部分的大小。从块2开始是i节点表，i节点表中含有i节点，表的块数是可变的，后面将做讨论。i节点表之后是空闲存储块（数据存储块），可用于存放文件内容。文件的逻辑结构和物理结构是十分不同的，逻辑结构是用户敲入cat命令后所看到的文件，用户可得到表示文件内容的字符流。物理结构是文件实际上如何存放在磁盘上的存储格式。用户认为自己的文件是边疆的字符流，但实际上文件可能并不是以边疆的方式存放在磁盘上的，长于一块的文件通常将分散地存放在盘上。然而当用户存取文件时，Linux文件系统将以正确的顺序取出各块，给用户提供文件的逻辑结构。

    当然，在Linux系统的某处一定会有一个表，告诉文件系统如何将物理结构转换为逻辑结构。这就涉及到i节点了。i节点是一个64字节长的表，含有有关一个文件的信息，其中有文件大小、文件所有者、文件存取许可方式，以及文件为普通文件、目录文件还是特别文件等。在i节点中最重要的一项是磁盘地址表。

    该表中有13个块号。前10个块号是文件前10块的存放地址。这10个块号能给出一个至多10块长的文件的逻辑结构，文件将以块号在磁盘地址表中出现的顺序依次取得相应的块。当文件长于10块时又怎样呢?磁盘地址表中的第11项给出一个块号，这个块号指出的块中含有256个块号，至此，这种方法满足了至多长于266块的文件（272384字节）。如果文件大于266块，磁盘地址表的第12项给出一个块号，这个块号指出的块中含有256个块号，这256个块号的每一个块号又指出一块，块中含256个块号，这些块号才用于取文件的内容。磁盘地址中和第13项索引寻址方式与第12项类似，只是多一级间接索引。

    这样，在Linux系统中，文件的最大长度是16842762块，即17246988288字节，有幸是Linux系统对文件的最大长度（一般为1到2M字节）加了更实际的限制，使用户不会无意中建立一个用完整个磁盘区所有块的文件。

    文件系统将文件名转换为i节点的方法实际上相当简单。一个目录实际上是一个含有目录表的文件：对于目录中的每个文件，在目录表中有一个入口项，入口项中含有文件名和与文件相应的i节点号。当用户敲入catxxx时，文件系统就在当前目录表中查找名为xxx的入口项，得到与文件xxx相应的i节点号，然后开始取含有文件xxx的内容的块。

    一个inode有128 byte。在新建文件系统时, 通常会有一个参数, 用来描述要分配多少比例的空间给inode table。举例来说newfs -i 2048是指文件系统中, 每分配2048 byte给data area, 就分配一个inode。但一个inode并不一定用掉2048 byte, 也不是说 files allocation的最小单位是2048 byte, 它仅仅只是代表文件系统中inode table/data area分配空间的比例是 128/2048 也就是 1/16。如果 inode table 太小, 那么在每个文件都很小的时候, 就会发生inode用光而存储空间多余的情况。file allocation的最小单位和inode多少没有关系

    Linux文件系统是可安装的，这意味着每个文件系统可以连接到整个目录树的任意节点上（根目录总是被安装上的）。安装文件系统的目录称为安装点。

    /etc/mount命令用于安装文件系统，用这条命令可将文件系统安装在现有目录结构的任意处。

    安装文件系统时，安装点的文件和目录都是不可存取的，因此未安装文件系统时，不要将文件存入安装点目录。文件系统安装后，安装点的存取许可方式和所有者将改变为所安装的文件根目录的许可方式和所有者。

    安装文件系统时要小心：安装点的属性会改变！还要注意新建的文件，除非新文件系统是由标准文件建立的，系统标准文件会设置适当的存取许可方式，否则新文件系统的存取许可将是777!

    可用-r选项将文件系统安装成只读文件系统。需要写保护的带驱动器和磁盘，应当以这种方式来安装。

    不带任何参数的/etc/mount可获得系统中所安装的文件系统的有关信息。包括：文件系统被安装的安装点目录，对应/dev中的设备，只读或可读写，安装时间和日期等。从安全的观点来讲，可安装系统的危险来自用户可能请求系统管理员为其安装用户自己的文件系统。如果安装了用户的文件系统，则应在允许用户存取文件系统前，先扫描用户的文件系统，搜索SUID/SGID程序和设备文件。在除了系统管理员外任何人不能执行的目录中安装文件系统，用find命令或secure列出可疑文件，删除不属用户所有的文件的SUID/SGID许可。

    用户的文件系统用完后，可用umount命令卸下文件系统。并将安装点目录的所有者改回系统管理员，存取许可改为755。

    前些天被我误删掉的 home directory 下的几千个文件，经过本人数天的连续奋战，现绝大部分已恢复，算是奇迹也不是奇迹。

    删掉文件其实只是将指向数据块的索引点 (information nodes) 释放，只要不被覆盖，数据其实还在硬盘上，关键在于找出索引点，然后将其所指数据块内的数据抓出，再保存到另外的分区。

    我先在网上查有关 linux undelete 的信息，找到一个 ext2fs-undeletion 的mini-Howto，后发觉在RH6.2的 /usr/doc/HOWTO 内也有，按它的方法，先将被删掉数据的盘区 umount 掉（防止写盘覆盖被删除的数据，显然这一步在误删数据后做得越快越好，尤其是对多人使用的计算机），然后查文件系统中哪些索引点最近被释放：

   #debugfs /dev/hda6 (my 'home' partition)
   debugfs: lsdel

即给出相应信息，包括索引点，文件属主，大小，删除日期等。也可将结果输出到一个文件中

   debugfs: quit
   # echo lsdel | debugfs /dev/hda6 > lsdel.out

还可用 debugfs 中 stat 查看某一索引点的详细信息：

       debugfs: stat <148003>

    尤其注意其数据块是否连续！

    然后将该索引点所指数据块内的数据抓出并存到另一盘区：

       debugfs: dump <148003> /dosd/tmp/recovered.001

   按该 mini-Howto 的说法，以上方法只使用于大小不超过 12 个 block 的文件，对于超过 12 个 block 的文件，由于 unix 是将数据分段保存的，需要将各段数据分别取出再拼接，所以比较麻烦。但我用 stat 检查的结果，大文件的数据块也都是紧挨着的，并没有被分段, 于是我试着用同样的方法将文件 dump 出来，发觉结果完全正确，对六百多兆的大文件也适用！不知道 linux 就是连续保存文件的，还是因为我的计算机只有我一个用户而使然，反正我用上述简单方法将我误删的绝大部分文件都恢复了。

    需要说明的一点是，恢复的文件是没有保留文件名的，需要你查看文件内容后，再重新命名。

    靠人不如靠己，当初没有轻易放弃看来是正确的，尽管我有少量备份。不过经过这场"灾难"，本人的指法倒是又熟练了不少：几千个文件得一个一个恢复！

发信人: DA (穷开心), 信区: LINUX
标  题: linux环境下如何undelete
发信站: 武汉白云黄鹤站 (Sun Feb  4 16:35:32 2001), 转信

    在bashrc加入以下指令，但是先要在/目录下创建一个名为.trash的子目录

alias rm        'mv -f !* ~/.trash'
alias undel     'mv ~/.trash/!* ./!*'
alias cleantrash '/bin/rm -rf ~/.trash; mkdir ~/.trash; sync'
alias lrm       'ls ~/.trash'

    若文档是直接用rm命令删除的，理论上 ext2 内 rm 掉的档案还是可以用debugfs , ext2ed 救回来的.当然... 被 overwrite 掉就没救了.

    用于检查文件系统，只用一个磁盘分区名作为参数，将列出i节点号及相应的文件名。i节点相同的文件为建链文件。注意所列出的清单文件名与mount命令的第一个域相同的文件名前部分将不会列出来。因为是做文件系统内部的检查，ncheck并不知道文件系统安装点以上部分的目录。

    也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件，使用-s选项来完成此项功能。