Linux procfs inode 号在进程运行时发生变化

Question

我正在为 Linux 开发安全软件（SW）。 我们的软件所做的一件事是，当某个进程启动时，软件 stat() 会记录该进程的 /proc/ 条目并记住该条目的 inode 号。 当稍后软件需要确定进程仍在运行（并且尚未重新启动）时，它会再次查找进程的 inode 并与记住的 inode 进行比较。 一切都很好，直到最近我开始收到特定应用程序的错误警报 - Opera 浏览器 11.10beta。 基本上看来，当 Opera 运行时，其 /proc/PID 条目的索引节点号已更改，我们认为这是不可能的。 这是软件安全概念工作中的一个相当大的扳手 - 很大程度上依赖于这样一个事实：当进程正在运行时，其 /proc/ 条目的 inode 保持不变。

有人可以告知为什么会出现这种行为吗？ 谢谢。

Answer 1

防御性编程习惯+1。

_{免责声明
如果这不是很明显：我只是在这里集思广益。显然我们不能立即给出答案，而且我的想法不适合评论；我会删除它，因为它不会带来解决方案}

我当然会确保 Opera 没有 forked/exec 本身（抱歉，这可能会侮辱你的智力:)）；

接下来，看看命名空间和 chroot

• http://vincent.bernat。 im/en/blog/2011-jchroot-isolation.html
• http://manpages.ubuntu.com/manpages/oneiric/man1/schroot.1 .html

编辑

• [patch 08/12] procfs: inode defragmentation support

编辑

我想说进程 ID 必须已更改（或 procfs 重新挂载，对用户进程可见） ？）：

在/proc下我们可以找到一般的系统信息和特定的进程信息和统计信息。 Linux通过inode号来区分不同类型的信息。 Linux 中的 inode 号表示为 32 位数字，PID（进程标识符）表示为 16 位数字。通过这种模式，Linux 将 inode 号分成 16 位的两半。左半部分被解释为 PID 号，右半部分被解释为一类信息。由于 PID=0 无效，Linux 使用该值来指示 inode 包含全局信息。 （来源）

Answer 2

感谢 sehe 指出了正确的方向，并感谢 Random832 最终解决了这个问题。
我运行了一个进程并监视其 PID ls -i /proc/21314 。唉!该目录下的每个条目的索引节点号在大约 1 年后发生了更改。 15分钟。
所以 inode 号在 procfs 中从来就不是永久的:(