Sử dụng setfacl để cho phép các thành viên nhóm ghi vào bất kỳ tệp nào trong một thư mục

Tôi muốn sử dụng setfacl để bất kỳ ai trong nhóm 'ứng dụng' có thể chỉnh sửa bất kỳ tệp nào có trong / usr / local / users / app bất kể các quyền hạn UNIX truyền thống nói gì. Tôi có hai người dùng john và ben. Tôi đã cố làm theo hướng dẫn từ một câu hỏi khác , nhưng john không thể ghi vào một số tập tin. Có vẻ như đây là vì mặt nạ acl. Tuy nhiên, tôi đã đặt mặt nạ mặc định trên thư mục của rwx, vì vậy các tệp trong đó có nên kế thừa nó khi được tạo không?

Ví dụ: john không thể ghi vào tệp bên dưới, nhưng anh ta là thành viên của nhóm 'ứng dụng' đã viết acls trên tệp nên tôi ngạc nhiên khi anh ta không thể chỉnh sửa tệp.

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

Bạn sẽ nhận thấy bình luận "hiệu quả" mà getfacl đang ném vào bạn. Vấn đề là các quyền được tính toán sao cho "ứng dụng" không được thiết lập bit ghi. Điều đó xảy ra vì mặt nạ trên tệp được đặt ở chế độ chỉ đọc. Mặt nạ được sử dụng để giới hạn số lượng quyền có thể được cung cấp trên một tệp hoặc thư mục cụ thể.

Một ví dụ về lý do tại sao bạn muốn hành vi này sẽ như thế nào nếu bạn biết tệp có thể cần một cách hợp pháp những người dùng / nhóm khác nhau để có quyền truy cập nhưng vì một số lý do, mọi thứ trở nên phức tạp với quyền và bạn muốn có cách nói "Dù thế nào đi nữa các quyền mặc định được đặt thành, bất kể tư cách thành viên nhóm của họ là gì, hoặc bất kỳ setfacl đệ quy nào sẽ được thực thi sau này, DEFINITELY KHÔNG ĐƯA RA NÀY ! " Người dùng sở hữu có một trạng thái đặc biệt trong thế giới POSIX, nó có các quyền mà người dùng khác không có, như khả năng không root và thay đổi quyền trên một tệp và quyền của nó không bị giới hạn bởi mặt nạ (sẽ bị hạn chế dù sao cũng vô nghĩa vì đặc quyền đầu tiên mà hệ thống mang lại cho họ). Đây là lý do tại sao họ vẫn nhận được rwx mặc dù mặt nạ bị hạn chế.

Để trả lời câu hỏi cụ thể của bạn : thêm bit ghi vào mặt nạ trên tệp và thử lại với tư cách johnngười dùng.

đây là phiên bản dòng lệnh của lời giải thích ở trên, hãy lưu ý cách thay đổi quyền "hiệu quả" khi tất cả những gì tôi sửa đổi là mặt nạ.

Nó là không thể. cp, rsync, v.v ... tạo tập tin bỏ qua ACL mặc định

Tại sao cp không tôn trọng ACL?