Menggunakan setfacl untuk memungkinkan anggota grup menulis ke file apa pun di direktori

Saya ingin menggunakan setfacl sehingga siapa pun dalam 'aplikasi' grup dapat mengedit file apa pun yang terdapat dalam / usr / local / users / app terlepas dari apa yang dikatakan izin UNIX tradisional. Saya punya dua pengguna john dan ben. Saya mencoba mengikuti instruksi dari pertanyaan lain , tetapi John tidak dapat menulis ke beberapa file. Sepertinya ini karena topeng acl. Namun, saya telah menetapkan masker default pada direktori rwx, jadi bukankah seharusnya file di dalamnya mewarisi itu ketika dibuat?

Misalnya john tidak dapat menulis ke file di bawah ini, tetapi ia adalah anggota 'aplikasi' grup yang telah menulis acl pada file tersebut sehingga saya terkejut ia tidak dapat mengedit file.

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

Anda akan melihat komentar "efektif" yang diberikan getfacl kepada Anda. Masalahnya adalah izin menghitung sehingga "aplikasi" tidak mendapatkan set bit tulis. Itu terjadi karena mask pada file diatur ke read-only. Topeng digunakan untuk membatasi jumlah izin yang mungkin bisa diberikan pada file atau direktori tertentu.

Contoh mengapa Anda menginginkan perilaku ini akan seperti jika Anda tahu file tersebut secara sah membutuhkan pengguna / grup yang berbeda untuk memiliki akses ke sana, tetapi karena beberapa alasan hal menjadi semakin rumit dengan izin dan Anda menginginkan cara untuk mengatakan "Apa pun yang lain izin default diatur ke, apa pun keanggotaan grup mereka, atau setfacl rekursif apa pun yang akan dieksekusi nanti, PASTI JANGAN MEMBERIKAN INI ! " Pengguna yang memiliki memiliki status khusus di dunia POSIX, memiliki hak yang tidak dimiliki pengguna lain, seperti kemampuan untuk menjadi non-root dan mengubah izin pada file dan memiliki haknya tidak dibatasi oleh mask (yang akan menjadi sia-sia karena hak istimewa pertama yang diberikan sistem kepada mereka). Inilah sebabnya mereka tetap mendapatkan rwx meskipun mask dibatasi.

Untuk menjawab pertanyaan spesifik Anda : tambahkan bit tulis ke mask pada file dan coba lagi sebagai johnpengguna.

di sini adalah versi baris perintah dari penjelasan di atas, perhatikan bagaimana perubahan "efektif" hak ketika semua saya memodifikasi adalah topeng.

Itu tidak mungkin. cp, rsync, dll. membuat file yang mengabaikan ACL default

Mengapa cp tidak menghormati ACL?