O Dtrace seria legal, mas não é portado no AIX.
Você deve ser capaz de rastrear o que está chmodeando o arquivo com a auditoria: link
No AIX 6100-05-02-1034, algo está alterando frequentemente as permissões do arquivo /etc/passwd para 640. Isso é ruim ...
Como eu poderia rastrear o que está chmodando o arquivo? Não há history 1000 | fgrep -i chmod , acho que um processo é chmoding do arquivo, mas qual deles? dtrace pode fazer isso? não está no AIX
O Dtrace seria legal, mas não é portado no AIX.
Você deve ser capaz de rastrear o que está chmodeando o arquivo com a auditoria: link
No começo, eu abria um registro de problema com a IBM, já que isso soa como código quebrado e deveria ser corrigido. Eu pessoalmente só tive problemas similares com o /etc/resolv.conf que também não pode ser lido por outros, e quando ele pertence ao root: system que pode ser um problema.
O ponteiro para o subsistema de auditoria está correto, embora o famoso randomizador de URL da developerworks tenha sido atingido e o link acima não esteja mais funcionando. Verifique por exemplo link ou a página arquivada: link
Para a seleção de eventos, você deve tentar com FILE_Write e talvez, além disso, FILE_Mode, FILE_Privilege e / ou FILE_Acl
Tags aix