Sikerült megakadnom valamiben, hátha valakinek van ötlete.
Adott egy fájl ami így jött létre:
getfacl /konyvtar/fajlnev.txt
getfacl: Removing leading '/' from absolute path names
# file: /konyvtar/fajlnev.txt
# owner: root
# group: root
user::rw-
user:felhasznalo:rwx
group::---
group:csoport:r-x
mask::rwx
other::---
-rw-rwx---+ 1 root root 112 Sep 25 05:28 fajlnev.txt
A cél az lenne hogy a "csoport" csoport tagjai csak olvasni tudják a fájlt.
CHMOD biztosan nem ad írási jogot, ACL az érintett group is csak r-x-t, de a csoport tagjai továbbra is képesek törölni.
Levettem az wx-et a maskról és a userről, így néz ki most:
/konyvtar/fajlnev.txt
getfacl: Removing leading '/' from absolute path names
# file: /konyvtar/fajlnev.txt
# owner: root
# group: root
user::r--
user:felhasznalo:rwx #effective:r--
group::---
group:csoport:r-x #effective:r--
mask::r--
other::---
Továbbra is képesek törölni.
Itt már csak arra tudok gondolni hogy a szülőkönyvtár ACL-el biztositott joga (ott valóban van RWX a csoport) érvényesül,
akkor is ha a benne levő fájlra explicit nincs joga.
Tehát az effektive jogosultságot a getfact egyszerűen kihagyja.
Így néz ki a szülő:
default:group:csoport:rwx
default:mask::rwx
default:other::---
Lehet ezzel bármit kezdeni, ha csak egyetlen fájra akarom korlátozni az irást,
de az érintett könyvtárban a csoport tagjainak képesek kell lennie új fájlokat létrehozni, majd az módositani?