Подробный гайд: Восстановление удалённых файлов в Astra Linux

Восстановление удалённых файлов в Astra Linux: инструменты, команды, пошаговые инструкции для ext4magic, TestDisk, PhotoRec, R-Linux

2026.04.21                  

Подробный гайд: Восстановление удалённых файлов в Astra LinuxПодробный гайд: Восстановление удалённых файлов в Astra Linux

ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ:

  • Никакие инструменты не гарантируют 100% восстановление. Лучший способ — восстановление из резервной копии. Все операции проводите только на отмонтированных разделах или с Live-USB, чтобы избежать перезаписи данных.

Подготовка к восстановлению

1. Немедленно прекратите запись на диск

# Отмонтировать раздел (если смонтирован)
sudo umount /dev/sdXY

# Или смонтировать в режиме "только чтение"
sudo mount -o remount,ro /dev/sdXY

2. Создайте образ диска (рекомендуется)

# Использование ddrescue для безопасного копирования
sudo apt install gddrescue
sudo ddrescue /dev/sdXY backup.img recovery.log

GNU ddrescue копирует данные с повреждённых носителей, пропуская битые сектора и сохраняя карту восстановления для повторных попыток.

Инструменты восстановления (по приоритету)

1. ext4magic — Рекомендуемый для ext3/ext4

Инструмент показал высокую эффективность в Astra Linux.

Установка:

# Для Astra Linux Special Edition 1.8+
sudo apt install ext4magic

# Или вручную для x86_64:
wget https://ftp.de.debian.org/debian/pool/main/e/ext4magic/ext4magic_0.3.2-7_amd64.deb
sudo apt install ./ext4magic_0.3.2-7_amd64.deb

Основные команды:

# Восстановить ВСЕ файлы из раздела
sudo ext4magic -M /dev/sdXY

# Восстановить только удалённые файлы
sudo ext4magic -m /dev/sdXY

# Восстановить конкретный файл/путь
sudo ext4magic -rf /путь/к/файлу /dev/sdXY

# Восстановить файлы после определённой даты (Unix timestamp)
sudo ext4magic -d "2024-01-01" -m /dev/sdXY

Файлы сохраняются в подкаталог RECOVERED текущего каталога.

2. TestDisk + PhotoRec — Универсальный комплект

Входит в репозитории Astra Linux.

Установка:

sudo apt install testdisk

TestDisk — восстановление разделов и структуры ФС

sudo testdisk /dev/sdX

Пошагово в интерфейсе:

  1. Выбрать тип таблицы разделов (обычно Intel/PC)
  2. AnalyseQuick Search для поиска разделов
  3. Для ext4: AdvancedSuperblock → найти резервный суперблок

4. Выйти (q) и выполнить:

sudo fsck.ext4 -p -b <номер_суперблока> -B 4096 /dev/sdXY

PhotoRec — восстановление файлов по сигнатурам

sudo photorec /dev/sdXY

Важные настройки в интерфейсе:

  • File Opt — выберите только нужные типы файлов (чтобы избежать "мусора")
  • Free — искать только в свободном пространстве (удалённые файлы)
  • Whole — сканировать весь раздел
  • Укажите каталог для сохранения → нажмите C

PhotoRec не сохраняет имена файлов — их придётся восстанавливать вручную.

3. R-Linux — Графический интерфейс

Бесплатная утилита для Ext2/Ext3/Ext4 от R-Tools Technology.

Установка:

wget https://www.r-studio.com/downloads/RLinux5_x64.deb
sudo apt install ./RLinux5_x64.deb
sudo rlinux

Преимущества:

  • Графический интерфейс на русском
  • Предпросмотр восстанавливаемых файлов
  • Поддержка образов дисков
  • Мониторинг S.M.A.R.T. дисков

4. extundelete — Не рекомендуется

Входит в дистрибутив, но часто вызывает сбои (Segmentation fault):

sudo apt install extundelete
sudo extundelete --restore-all /dev/sdXY  # Может завершиться с ошибкой

Используйте только если другие методы не помогли, и обязательно на копии диска.

Критические предупреждения

  1. Не используйте cp или dd для копирования с повреждённых дисков — они могут "зависнуть" на битых секторах и усугубить повреждения.
  2. Не монтируйте раздел на запись во время восстановления.
  3. Восстановление невозможно, если включён режим "безопасного удаления" (secure delete) в Astra Linux.
  4. Чем меньше времени прошло после удаления — тем выше шансы на успех.
  5. Всегда работайте с образом диска, а не с оригиналом.

Алгоритм действий при удалении файлов

Обнаружили удаление
        ↓
Немедленно отмонтировать раздел
        ↓
Создать образ через ddrescue
        ↓
Попробовать ext4magic -m
        ↓
Успех? → Да → Проверить восстановленные файлы
        ↓
       Нет
        ↓
Запустить PhotoRec с фильтром типов
        ↓
Успех? → Да → Проверить восстановленные файлы
        ↓
       Нет
        ↓
Попробовать R-Linux GUI
        ↓
Успех? → Да → Проверить восстановленные файлы
        ↓
       Нет
        ↓
Обратиться к специалистам по ИБ

Пример полного сценария

# 1. Определить проблемный раздел
lsblk
df -h

# 2. Отмонтировать
sudo umount /dev/sdb1

# 3. Создать образ
sudo ddrescue /dev/sdb1 /mnt/backup/sdb1.img /mnt/backup/sdb1.log

# 4. Запустить ext4magic на образе
sudo ext4magic -m /mnt/backup/sdb1.img

# 5. Проверить результат
ls -la RECOVERED/
find RECOVERED/ -name "*.docx" -o -name "*.pdf" | head -20

Особенности Astra Linux

  • В Special Edition могут быть ограничения из-за политик мандатного доступа (Parsec) — убедитесь, что у вас есть соответствующие права.
  • Для работы с зашифрованными разделами сначала расшифруйте их через cryptsetup.
  • При восстановлении в корпоративной среде согласуйте действия с отделом ИБ.

Совет:

  • Настройте регулярное резервное копирование через rsync, borg или restic — это единственный надёжный способ защиты от потери данных.
×

Полный размер Слайдшоу Предыдущий Следующий