Cómo recuperar archivos borrados en Linux
Puede que alguna vez hayas borrado un archivo de forma accidental mediante la tecla “Del” o a través del comando “rm” en la consola de GNU/Linux. Para recuperar esa información, en el primer caso vas a la «Papelera» y restauras el archivo a su ubicación original. Sin embargo, en el segundo caso no puedes recuperarla, ya que la línea de comando de GNU/Linux no mueve los archivos borrados a la «Papelera».
En este tip te mostraré como evitar que el comando “rm” borre los archivos sin pedir confirmación de borrado y cómo recuperar archivos borrados con la herramienta forense Foremost.
Creando un alias
La opción “-i” del comando “rm” hace que tengas que confirmar el borrado de archivos y directorios. Esto mismo se aplica si copias, mueves o renombras un archivo en el mismo lugar donde existe otro archivo con el mismo nombre.
Para cambiar el comportamiento del comando “rm” con “rm -i”, debes crearle un alias:
1 |
$ alias rm='rm -i' |
El alias creado anteriormente solo será válido en la sesión actual. Para hacerlo permanente debes editar el archivo “~/.bashrc” (en algunas distribuciones debes editar el archivo ~/.profile) y agregar al final lo siguiente:
1 2 |
# Alias para confirmación de borrado alias rm='rm -i' |
Luego, para cargar la configuración ejecuta el comando:
1 |
$ . ~/.bashrc |
Recuperación de archivos y directorios
Existen varias herramientas que te permiten recupear tus archivos y directorios borrados; una de ellas es la herramienta forense Foremost. Para instalar esta herramienta en CentOS/RHEL 7, debes agregar el repositorio Repoforge primero:
1 2 |
$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm $ sudo yum install foremost |
Mientras que en Debian y derivados se realiza de esta forma:
1 |
$ sudo apt-get install foremost |
Una vez que la instalación ha finalizado, vamos a proceder con un simple ejemplo. Primero vamos a borrar un archivo llamado “unidigital_logo.jpg” en el directorio “/home/universod”:
1 2 |
$ cd /home/universod $ rm universod_logo.jpg |
Para recuperarlo con la herramienta Foremost, necesitas identificar en qué partición se encontraba primero el archivo. Para esto, ejecuta:
1 |
$ sudo foremost -t jpg -i /dev/sda5 -o /tmp/recuperados |
Donde “/tmp/recuperados” es el directorio donde se copiará el archivo recuperado (si la recuperación fue posible). Vale destacar que el directorio que contendrá los archivos recuperados debe estar en una partición distinta a la que se está analizando.
Si durante el proceso de recuperación son escritos los sectores donde se encontraba el archivo, es posible que no pueda recuperarse nada.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir