No AIX 6100-05-02-1034, algo frequentemente muda as permissões do /etc/passwdarquivo para 640. Isso é ruim ...
Como posso rastrear que o que está chmoding o arquivo? Não há history 1000 | fgrep -i chmod, acho que um processo está modificando o arquivo, mas qual? dtraceposso fazer isso? não está no AIX
Respostas:
O Dtrace seria bom, mas não é portado no AIX.
Você deve conseguir rastrear o que está modificando o arquivo com a auditoria: http://www.ibm.com/developerworks/aix/library/au-audit/
No começo, eu abria um registro de problema com a IBM, pois isso soa como código quebrado e deve ser corrigido. Pessoalmente, só tive problemas semelhantes com o /etc/resolv.conf e também não é legível por outras pessoas, e quando ele pertence ao sistema root: que pode ser um problema.
O ponteiro para o subsistema de auditoria está correto, embora o famoso aleatorizador de URL do developerWorks tenha atingido e o link acima não esteja mais funcionando. Verifique, por exemplo, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm ou a página arquivada: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Para a seleção do evento, você deve tentar com FILE_Write e talvez FILE_Mode, FILE_Privilege e / ou FILE_Acl
chmod, não échown?