A atualização de arquivos geralmente é feita por meio da gravação de um novo arquivo no mesmo diretório, seguido pela renomeação do arquivo na parte superior do arquivo antigo. Esse método é geralmente aplicado a tudo que é instalado através de um gerenciador de pacotes, mas também a qualquer atualização executada em executáveis e bibliotecas, mesmo que seja atualizada por outros motivos.
Esta forma de atualizar arquivos garante que qualquer processo que abra o arquivo receba o antigo ou o novo e não veja nada que esteja mudando no arquivo que eles abriram. Isso significa que, cada vez que for atualizado, você terá um novo arquivo com o mesmo nome, portanto, o número do inode foi alterado.
Eu acho que essa é a razão para esses arquivos terem um novo número de inode.
Uma atualização de segurança pode ser um dos motivos. Mas há outra possibilidade, que eu observei primeiro no Fedora Core 1, e que poderia muito bem ter chegado ao Centos em algum momento.
Os executáveis e as bibliotecas estão sendo pré-vinculados, de modo que possam começar mais rapidamente e usar menos memória. Durante esse processo, o endereço de carregamento é randomizado para dificultar um pouco a exploração de vulnerabilidades de segurança. Um cron job periodicamente repetia o processo com novos endereços aleatórios, fazendo com que todos os executáveis e bibliotecas pré-configurados fossem atualizados.