Puede que alguna vez hayas borrado un archivo de forma accidental mediante la tecla “Del” o a través del comando “rm” en la consola de GNU/Linux. Para recuperar esa información, en el primer caso vas a la «Papelera» y restauras el archivo a su ubicación original. Sin embargo, en el segundo caso no puedes recuperarla, ya que la línea de comando de GNU/Linux no mueve los archivos borrados a la «Papelera».
En este tip te mostraré como evitar que el comando “rm” borre los archivos sin pedir confirmación de borrado y cómo recuperar archivos borrados con la herramienta forense Foremost.
Creando un alias
La opción “-i” del comando “rm” hace que tengas que confirmar el borrado de archivos y directorios. Esto mismo se aplica si copias, mueves o renombras un archivo en el mismo lugar donde existe otro archivo con el mismo nombre.
Para cambiar el comportamiento del comando “rm” con “rm -i”, debes crearle un alias:
1 |
$ alias rm='rm -i' |
El alias creado anteriormente solo será válido en la sesión actual. Para hacerlo permanente debes editar el archivo “~/.bashrc” (en algunas distribuciones debes editar el archivo ~/.profile) y agregar al final lo siguiente:
1 2 |
# Alias para confirmación de borrado alias rm='rm -i' |
Luego, para cargar la configuración ejecuta el comando:
1 |
$ . ~/.bashrc |
Recuperación de archivos y directorios
Existen varias herramientas que te permiten recupear tus archivos y directorios borrados; una de ellas es la herramienta forense Foremost. Para instalar esta herramienta en CentOS/RHEL 7, debes agregar el repositorio Repoforge primero:
1 2 |
$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm $ sudo yum install foremost |
Mientras que en Debian y derivados se realiza de esta forma:
1 |
$ sudo apt-get install foremost |
Una vez que la instalación ha finalizado, vamos a proceder con un simple ejemplo. Primero vamos a borrar un archivo llamado “unidigital_logo.jpg” en el directorio “/home/universod”:
1 2 |
$ cd /home/universod $ rm universod_logo.jpg |
Para recuperarlo con la herramienta Foremost, necesitas identificar en qué partición se encontraba primero el archivo. Para esto, ejecuta:
1 |
$ sudo foremost -t jpg -i /dev/sda5 -o /tmp/recuperados |
Donde “/tmp/recuperados” es el directorio donde se copiará el archivo recuperado (si la recuperación fue posible). Vale destacar que el directorio que contendrá los archivos recuperados debe estar en una partición distinta a la que se está analizando.
Si durante el proceso de recuperación son escritos los sectores donde se encontraba el archivo, es posible que no pueda recuperarse nada.