Utilisation de setfacl pour permettre aux membres du groupe d'écrire dans n'importe quel fichier d'un répertoire

J'aimerais utiliser setfacl pour que n'importe qui dans le groupe «app» puisse éditer n'importe quel fichier contenu dans / usr / local / users / app indépendamment de ce que disent les permissions UNIX traditionnelles. J'ai deux utilisateurs John et Ben. J'ai essayé de suivre les instructions d'une autre question , mais John n'est pas en mesure d'écrire dans certains fichiers. Il semble que ce soit à cause du masque acl. Cependant, j'ai défini le masque par défaut sur le répertoire de rwx, donc les fichiers qu'il contient ne devraient-ils pas en hériter lorsqu'ils sont créés?

Par exemple, john ne peut pas écrire dans le fichier ci-dessous, mais il est membre du groupe 'app' qui a écrit des acls sur le fichier, donc je suis surpris qu'il ne puisse pas modifier le fichier.

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

Vous remarquerez le commentaire "efficace" que getfacl vous lance. Le problème est que les autorisations sont calculées de sorte que «app» n'obtienne pas le bit d'écriture défini. Cela se produit car le masque du fichier est en lecture seule. Le masque est utilisé pour limiter la quantité d'autorisations qui pourraient éventuellement être accordées sur un fichier ou un répertoire particulier.

Un exemple de la raison pour laquelle vous voudriez que ce comportement soit comme si vous saviez que le fichier pouvait légitimement avoir besoin de différents utilisateurs / groupes pour y avoir accès, mais pour une raison quelconque, les choses se compliquaient avec les autorisations et vous vouliez un moyen de dire «Quel que soit l'autre les autorisations par défaut sont définies sur, quelle que soit leur appartenance à un groupe, ou quel que soit setfacl récursif qui sera exécuté plus tard, NE DONNEZ PAS DEFINITIVEMENT CECI ! " L'utilisateur propriétaire a un statut spécial dans le monde POSIX, il a des droits que les autres utilisateurs n'ont pas, comme la possibilité de ne pas être root et de modifier les autorisations sur un fichier et que ses droits ne soient pas limités par le masque (qui serait inutile de toute façon à cause du premier privilège que le système leur accorde). C'est pourquoi ils obtiennent toujours rwx même si le masque est restreint.

Pour répondre à votre question spécifique, ajoutez le bit d'écriture au masque du fichier et réessayez en tant johnqu'utilisateur.

voici une version en ligne de commande de l'explication ci-dessus, prenez note de la façon dont les droits "effectifs" changent lorsque tout ce que je modifie est le masque.

C'est impossible. cp, rsync, etc. créent des fichiers en ignorant les ACL par défaut

Pourquoi cp ne respecte-t-il pas les ACL?