Al principio, abriría un registro de problemas con IBM, ya que suena como un código roto y debería solucionarse. Personalmente, solo tuve problemas similares con /etc/resolv.conf que otros no pueden leer, y cuando pertenece a root: sistema que podría ser un problema.
El puntero para auditar el subsistema es correcto, aunque el famoso desarrollador-aleatorizador de URL funcionó, y el enlace anterior ya no funciona. Compruebe, por ejemplo, http://www-01.ibm.com/support/knowledgecenter/ssw_aix_61/com.ibm.aix.security/monitor_file_access_realtime.htm o la página archivada: https://web.archive.org/web/20080328022606/ http://www.ibm.com/developerworks/aix/library/au-audit/
Para la selección de eventos, debe intentar con FILE_Write y quizás además FILE_Mode, FILE_Privilege y / o FILE_Acl
chmod
, nochown
?