Linux 中的僵尸进程：如何查找和清除

僵尸进程是指已执行完毕但仍占用内核进程表中一个槽位的子进程。其存在的原因是父进程尚未调用 wait() 来获取其退出状态。僵尸进程不会消耗 CPU 或内存，但每个都占用一个 PID。若其数量积累过多，系统将无法生成新进程。本文将介绍如何识别、清除它们，以及如何从源头防止其出现。

为何僵尸进程在服务器上至关重要

单个僵尸进程无害。问题在于它们的积累。Linux 的 PID 空间是有限的：32 位系统为 32,768，64 位系统最多为 4,194,304。如果僵尸进程填满了进程表，内核就无法创建新进程。这意味着无法建立新连接、无法创建新工作线程，一切新操作都将受阻。

像 Apache 和 Nginx 这样的 Web 服务器尤其容易受到影响，因为它们会通过 fork 子进程来处理流量。基准测试表明，当僵尸进程在繁忙的 Web 服务器上积累时，吞吐量会下降 48%。2019 年，Kubernetes DNS Pod 中一个 Go 语言的通道泄漏问题，在单个节点上产生了超过 26,000 个僵尸进程，填满了进程表，导致整个集群的 DNS 解析崩溃。

下表展示了普通进程与僵尸进程之间的关键区别：

关键要点：你无法 kill -9 僵尸进程。它已经死了。清除它的唯一方法是让父进程回收它，或者杀死父进程，这样 init （PID 1）自动继承并回收它。

如何查找僵尸进程

僵尸进程会在 STAT 列中显示为 Z， <defunct> 命令名称旁边。使用以下命令列出它们：

ps aux | grep -w Z

要查看父进程ID（PPID）（清除僵尸进程时需要该ID）：

ps -eo pid,ppid,stat,comm | grep -w Z

该 top 该命令的标题行中还会显示僵尸进程的总数。若需快速非交互式检查：

top -bn1 | grep zombie

使用 pstree 追踪父进程

获取僵尸进程的 PID 后，可追溯其对应的父进程：

pstree -p -s <zombie_pid>

这将显示从 init 到僵尸进程的完整祖先树。如果 pstree 未安装， ps auxf 则会提供类似的 ASCII 树形视图。

统计僵尸进程用于监控

一个干净的计数，不包含 grep 进程本身：

ps aux | awk '$8 ~ /Z/ {count++} END {print count+0}'

用于故障排除期间的持续监控：

watch -n 1 'ps aux | grep -w Z | wc -l'

如何清除僵尸进程

只有通过收集僵尸进程的退出状态才能将其清除。这意味着需要通过其父进程进行操作。

1. 查找父进程。

ps -o ppid= -p <zombie_pid>

2. 向父进程发送信号，使其回收子进程。

kill -SIGCHLD <parent_pid>

这会指示父进程调用 wait() 来处理任何已终止的子进程。这种方法不会造成中断，且适用于行为规范的应用程序。

3. 如果 SIGCHLD 无效，则重启服务。

systemctl restart <service_name>

4. 如果父进程无响应，则将其杀死。

kill <parent_pid>

或者如果它忽略了 SIGTERM 信号：

kill -9 <parent_pid>

当父进程终止时， init （PID 1）或 systemd 接管这些孤儿僵尸进程并立即回收它们。在生产环境中请务必谨慎。杀死父进程也会终止其所有活跃子进程。

5. 验证清理结果。

ps aux | awk '$8 ~ /Z/ {count++} END {print count+0}'

如果计数为 0，则说明已清理完毕。

防止僵尸进程

在代码中处理子进程

大多数僵尸进程堆积的根本原因在于父进程从未调用 wait()。从源头解决：

• C：设置 signal(SIGCHLD, SIG_IGN); 以自动丢弃子进程退出信息，或使用信号处理程序配合 waitpid(-1, NULL, WNOHANG) 进行异步回收。
• Python：使用 subprocess.run()，它会自动等待。如果使用 Popen，请显式调用 proc.wait() 。
• Bash：在 wait 在启动后台任务的脚本末尾。

正确配置 systemd

对于由 systemd 管理的服务，以下设置可防止僵尸进程堆积：

• KillMode=control-group 确保服务停止时所有子进程同时终止。
• TimeoutStopSec 为父进程留出时间来回收子进程，然后 systemd 才会发送 SIGKILL 信号。
• WatchdogSec 自动重启无响应的服务，以应对父进程挂起并停止回收子进程的情况。

监控进程表

设置一个每 15 分钟运行一次的 cron 任务，用于统计僵尸进程数量，并在数量超过阈值时发出警报：

ps aux | awk '$8 ~ /Z/' | wc -l

同时通过将当前计数与 /proc/sys/kernel/pid_max。若超过 80%，请在问题恶化前进行排查。正常运行期间出现少量短暂的僵尸进程无需担忧。但数量持续增长且无法归零的情况，则表明存在需要修复的应用程序缺陷。

结论

僵尸进程是那些尚未被清理的“死进程”。它们不占用 CPU 或内存，但会占用 PID 资源，而满载的进程表会阻碍服务器执行任何有用的操作。

• 使用 ps aux | grep -w Z 并使用 pstree.
• 通过向父进程发送 SIGCHLD 信号给父进程、重启服务，或作为最后手段杀死父进程。
• 通过编写调用 wait()，正确配置 systemd，并监控您的进程表。

如果您正在运行高流量的工作负载，并且需要具备完全 root 访问权限的可靠基础设施，FDC 的专用服务器可让您完全掌控进程管理和系统配置。