两天前有求救说samba异常，后来翻遍一堆log才在之前装好的audit中看到大量
chdir|fail (拒绝不符权限的操作)|chdir|/tmp
我才注意到/tmp权限变成0700，改成1777就没事了。
问题来了，我的系统只有root有shell，我看过history没有chmod动过/tmp，
也包括没有解压缩或还原覆蓋等等，现在我有点紧张，总不会有人入侵
乱动吧？
请问各位有遇过这种权限跑掉的状况吗？有哪些因素会这样？

/tmp现在应该都是tmpfs，所以是kernel(?)配置时改的？

我CentOS 6.7，和/用同一分割区，而且我除了自动update已经很久没有动系统设定了，连smb.conf都摆两年左右没更新一个月以前的权限还是正确的，现在却跑掉，这一个月发生啥根据系统异常的时间点，看到一个secure的logrunuser: pam_unix(runuser:session): session opened forMay 12 03:00:32 时间点正好是我每天用cron跑yum update这个有点奇怪，其他时间没看到类似的纪录