使用setfacl允许组成员写入目录中的任何文件

我想使用setfacl，以便“应用程序”组中的任何人都可以编辑/ usr / local / users / app中包含的任何文件，而与传统的UNIX权限无关。我有两个用户约翰和本。我试图按照另一个问题的说明进行操作，但是john无法写入某些文件。看来这是因为acl遮罩。但是，我在rwx目录上设置了默认掩码，因此其中的文件在创建时不应该继承吗？

例如，john无法写入下面的文件，但是他是“ app”组的成员，该组在文件上写入了ACL，所以令我惊讶的是他无法编辑该文件。

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

您会注意到getfacl向您抛出的“有效”评论。问题是权限正在计算，因此“ app”没有设置写位。发生这种情况是因为文件上的掩码设置为只读。掩码用于限制可能在特定文件或目录上发出的权限数量。

例如，如果您知道该文件可能合法地需要不同的用户/组来访问该文件，但由于某种原因，权限变得越来越复杂，并且您想使用一种方式说“无论其他什么，无论它们的组成员身份是什么，或者以后执行任何递归setfacl，都将默认权限设置为“ 绝对不要给出这个信息！” 拥有用户在POSIX世界中具有特殊的地位，它具有其他用户没有的权限，例如具有非root用户权限和更改文件权限的能力，并且其权限不受掩码限制（无论如何都是毫无意义的，因为系统赋予了他们优先权）。这就是为什么即使掩码受限制他们仍然得到rwx的原因。

但是，要回答您的特定问题：将写位添加到文件的掩码中，然后以john用户身份重试。

这是上述说明的命令行版本，请注意当我全部修改为掩码时“有效”权限的变化。

是不可能的。cp，rsync等创建忽略默认ACL的文件

为什么cp不遵守ACL？