setfacl을 사용하여 그룹 구성원이 디렉토리의 모든 파일에 쓸 수 있도록 허용

'app'그룹의 모든 사람이 기존 UNIX 권한에 관계없이 / usr / local / users / app에 포함 된 파일을 편집 할 수 있도록 setfacl을 사용하고 싶습니다. 두 명의 사용자 인 john과 ben이 있습니다. 다른 질문 의 지시 를 따르려고 했지만 john은 일부 파일에 쓸 수 없습니다. 이것은 acl 마스크 때문입니다. 그러나 rwx 디렉토리에 기본 마스크를 설정 했으므로 그 안에있는 파일을 만들 때 상속하지 않아야합니까?

예를 들어 john은 아래 파일에 쓸 수 없지만 파일에 acls를 쓰는 'app'그룹의 구성원이므로 파일을 편집 할 수 없다는 것에 놀랐습니다.

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

getfacl이 당신에게 던지고 있다는 "효과적인"의견을 보게 될 것입니다. 문제는 "앱"이 쓰기 비트 세트를 얻지 못하도록 권한이 계산되고 있다는 것입니다. 파일의 마스크가 읽기 전용으로 설정되어 있기 때문에 발생합니다. 마스크는 특정 파일이나 디렉토리에 부여 될 수있는 권한의 양을 제한하는 데 사용됩니다.

이 동작을 원하는 이유의 예는 파일에 액세스하기 위해 파일에 다른 사용자 / 그룹이 합법적으로 필요할 수 있음을 알았지 만 어떤 이유로 인해 권한이 복잡 해져서 "다른 것들은 기본 권한은 그룹 멤버쉽 또는 재귀 setfacl이 나중에 실행될 때마다 설정됩니다. 확실하게이 정보를 제공하지 마십시오 ! " 소유 사용자는 POSIX 세계에서 특별한 지위를 가지고 있으며, 루트 권한이없고 파일에 대한 권한을 변경하는 기능과 같이 마스크에 의해 그 권한이 제한되지 않는 등 다른 사용자에게는없는 권한이 있습니다. 어쨌든 시스템이 그들에게 부여하는 첫 번째 특권 때문에 무의미합니다). 이것이 마스크가 제한되어 있어도 여전히 rwx를 얻는 이유입니다.

특정 질문에 대답하려면 : 파일의 마스크에 쓰기 비트를 추가하고 john사용자 로 다시 시도하십시오 .

여기에 "유효"권한을 모든 I 수정 마스크 때 변경하는 방법을주의 깊게 살펴, 위의 설명의 명령 줄 버전입니다.

불가능하다. cp, rsync 등은 기본 ACL을 무시하고 파일을 만듭니다.

cp가 ACL을 존중하지 않는 이유는 무엇입니까?