我有 3 台计算机,A、B 和 C,我在它们上执行相同的操作系统和软件安装。对于 A 上的任何特定文件,我是否可以期望 B 和 C 上的同一个文件对于该文件的实例具有相同的 inode 号?
我们的入侵检测系统是通过从 A 获取初始文件系统映像,然后使用相同的文件系统映像与 A、B 和 C 进行未来比较来建立的。我是该程序的新手,但似乎这已经奏效在过去。
我不知道 inode 编号排序是如何工作的,所以我猜它只是从 1 开始并为每个文件计数,或者类似的东西。如果是这样的话,这可能就是为什么文件 inode 编号在过去对我们来说甚至在计算机之间都是一致的 - 相同的文件是以相同的顺序创建的。虽然我不确定我们是否总是可以指望这一点。
但是,现在我收到了一些文件更改的通知,对于我正在查看的第一个文件,只有文件 inode 编号已更改。我认为有人在通知中重新安装了计算机上的操作系统和软件。
在不同计算机上安装相同的操作系统/软件(或在同一台计算机上按顺序重新安装),文件 inode 编号是否可以被视为相同?
如果我要从 A、B 或 C 中获取一个新的文件系统映像,我能否期望它能够解决我的“问题”(甚至不确定这是否是一个问题)?
我通常一次只能访问 1 或 2 台计算机,所以我现在无法检查 A 或 C,我不知道他们的报告会是什么样子。我只知道计算机B上至少1个文件的inode数量不是预期的。
在这种情况下,操作系统是 QNX 6。对于文件系统类型,mount告诉我 /dev/hd 文件是“on / type qnx4”...所以文件系统类型 qnx4?我猜qnx有自己的文件系统类型?我没有意识到这一点。或者也许这不准确。计算机上似乎不存在其他用于检查文件系统类型的命令。
更新:显然我错了。尽管我们关于文件系统原始状态的参考数据确实包含文件的 inode 编号,并且我可以选择将其包含在测试中,但我不应该在问题中描述的此检查中包含 inode 数据,并且“它在过去有效”就是因为这个。所以我实际上并不需要我在这里要求的东西,对此感到抱歉。不过,我将保留这个问题,因为我仍然觉得它很有趣,并且在评论中已经开始了部分答案。
不,因为 I/O 并行运行,并且 I/O 操作的顺序不是确定性的,并且受硬件操作的影响。操作系统分配 inode 编号,如果某些操作在系统 A 和 B 上以不同的顺序运行,则操作系统可以为“相同”文件分配不同的 inode 编号。
一个类似的问题是
/dev/,即使在同一个系统上,也不能保证在重新启动时的分配是一致的:/dev/sdb现在可能是/dev/sda上次启动时的情况。这不是问题(除非你把它变成一个),是的,如果你复制整个文件系统映像,它们将具有相同的 inode 编号。
确切地。答案是“不,你不能依赖它,因此你不应该测试它,因为那样它就会成为一个问题。”