Félreérted. Magára a mappára nem csak default:mask::XYZ adható (ez fog öröklődni), hanem mask::IJK is. Mutatom:
$ getfacl ACL
# file: ACL
# owner: zgabor
# group: zgabor
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:tss:r--
default:group::rwx
default:mask::rwx
default:other::r-x
$ setfacl -m mask::r-- ACL
$ getfacl ACL
# file: ACL
# owner: zgabor
# group: zgabor
user::rwx
group::rwx #effective:r--
mask::r--
other::r-x
default:user::rwx
default:user:tss:r--
default:group::rwx
default:mask::rwx
default:other::r-x
Attól, hogy adtam (egy korlátozó) mask ACL-t a mappára, máris másként működik a csoportjog (magán a mappán)!
Nem kezdtem el kiszámolni a te esetedben, de nekem is az a véleményem, mint fentebb a kollégának, hogy az egész hóbelevanc tetején levő mappára kellene egy mask::rwx ACL pluszban, és akkor talán már elkezdene jól működni. Értelemszerűen miután megkapja a mappa a saját (tehát nem az öröklődő, default) mask-ACL-jét, az ezt követően létrehozott fájlokon lehet tesztelni, hogy az öröklés jól működik-e. Nyilván a már ott levő fájlokon már nem oszt-nem szoroz.
(Legalább az eredeti kérdésben és egy hozzászólásban szerepelnek nálad konkrét ACL-ek, de mivel a nagy adatbiztonságban - valószínűleg - mind a kettőben lecserélted a valós felhasználó és csoportneveket, de nem ugyanarra, ezért elég nehéz a valós helyzetet kiszámolni.)
Kieg:
a chmod-ot úgy kell kikerülni, hogy jól beállítjuk a tetejét (azaz kap a felső mappa mask::rwx ACL-t), utána beállítjuk az öröklődő (tehát default: kezdetűeket is, nem kihagyva a default:mask::rwx ACL-t sem). Valamint ha valami chmod-ra lenne szükség, akkor minden chmod helyett a neki megfelelő setfacl ACL1,ACL2,ACL3 parancsot használjuk. Például chmod 751 filename helyett ezt:
setfacl -m user::rwx,group::rx,other::x filename
Azaz:
ACL1 = user::rwx (vagy amit akarsz)
ACL2 = group::rx (vagy amit akarsz)
ACL3 = other::x (vagy amit akarsz)