如何在文件仍处于打开状态时恢复已删除的文件?

如何在文件仍处于打开状态时恢复已删除的文件?

我试过

xtricman⚓ArchVirtual⏺️~

答案1

你不应该能够做到这一点(但请阅读下面的一个有趣的例外)。

如果内核允许这种情况发生,那么调用如下:

fd = open(filename, O_CREAT|O_RDWR, 0666);
unlink(filename);

linkat(fd, "", 0, "/new/path", AT_EMPTY_PATH);

fd当由具有 caps 的进程完成时,即使引用的 inode 的链接计数为 0,也会成功CAP_DAC_READ_SEARCH

但内核正在积极阻止这种情况的发生,而不考虑执行此操作的进程的功能或特权。

int vfs_link(struct dentry *old_dentry, ...
{
        ...
        /* Make sure we don't allow creating hardlink to an unlinked file */
        if (inode->i_nlink == 0 && !(inode->i_state & I_LINKABLE))
                error =  -ENOENT;

这也记录在联机帮助页中:

AT_EMPTY_PATH(自 Linux 2.6.39 起)

如果oldpath是空字符串,则创建指向 引用的文件的链接 olddirfd(可能已使用该open(2) O_PATH标志获得)。在这种情况下,olddirfd可以引用除目录之外的任何类型的文件。 如果文件的链接计数为零,这通常不起作用(使用 O_TMPFILE和不使用创建的文件O_EXCL除外)。调用者必须具有CAP_DAC_READ_SEARCH使用此标志的能力。该标志是 Linux 特定的;定义_GNU_SOURCE以获得其定义。

根据内核源码,除了 之外似乎没有其他异常O_TMPFILEO_TMPFILE记录在open(2)联机帮助页中;下面是一个基于此的小例子:

#define _GNU_SOURCE 1
#include <fcntl.h>
#include <unistd.h>
#include <stdio.h>
#include <err.h>

int main(int ac, char **av){
        char path[64]; int fd;
        if(ac < 3) errx(1, "usage: %s dir newpath", av[0]);

        if((fd = open(av[1], O_TMPFILE|O_RDWR, 0666)) == -1) err(1, "open");

        /*
         * ...
         * write stuff to fd and only "realize" the file at the end if
         * everything has succeeded
         */

        /* the following line only works with CAP_DAC_READ_SEARCH */
        /* if(linkat(fd, "", 0, av[2], AT_EMPTY_PATH)) err(1, "linkat"); */

        snprintf(path, sizeof path, "/proc/self/fd/%d", fd);
        if(linkat(AT_FDCWD, path, AT_FDCWD, av[2], AT_SYMLINK_FOLLOW))
                err(1, "linkat");
        return 0;
}

答案2

您可以简单地使用cat该文件描述符:

$ echo foo > bar
$ sleep 10m < bar & rm bar 
[1] 15743
$ ls -l /proc/15743/fd 
total 0
lr-x------ 1 olorin olorin 64 Jan 16 17:49 0 -> /tmp/bar (deleted)
lrwx------ 1 olorin olorin 64 Jan 16 17:49 1 -> /dev/pts/6
lrwx------ 1 olorin olorin 64 Jan 16 17:49 2 -> /dev/pts/6
$ cat /proc/15743/fd/0
foo
$ cat /proc/15743/fd/0 > bar
$ cat bar
foo

你不能ln对该文件建立硬链接,因为硬链接不能跨越文件系统,并且/proc是一个虚拟文件系统(procfs),即使在 内/proc,你可以做的事情也是受到限制的(内容反映了内核的状态,所以你不能执行任意操作)。

相关内容