兩天前有求救說samba異常，後來翻遍一堆log才在之前裝好的audit中看到大量
chdir|fail (拒絕不符權限的操作)|chdir|/tmp
我才注意到/tmp權限變成0700，改成1777就沒事了。
問題來了，我的系統只有root有shell，我看過history沒有chmod動過/tmp，
也包括沒有解壓縮或還原覆蓋等等，現在我有點緊張，總不會有人入侵
亂動吧？
請問各位有遇過這種權限跑掉的狀況嗎？有哪些因素會這樣？

/tmp現在應該都是tmpfs，所以是kernel(?)配置時改的？

我CentOS 6.7，和/用同一分割區，而且我除了自動update已經很久沒有動系統設定了，連smb.conf都擺兩年左右沒更新一個月以前的權限還是正確的，現在卻跑掉，這一個月發生啥根據系統異常的時間點，看到一個secure的logrunuser: pam_unix(runuser:session): session opened forMay 12 03:00:32 時間點正好是我每天用cron跑yum update這個有點奇怪，其他時間沒看到類似的紀錄