Вы заметите "эффективный" комментарий, что getfacl выводит в Вас. Проблема - то, что полномочия вычисляют так, чтобы "приложение" не получало набор битов записи. Это происходит, потому что маска на файле установлена на только для чтения. Маска используется для ограничения суммы полномочий, которые могли возможно быть выделены на конкретном файле или каталоге.
Пример того, почему Вы хотели бы это поведение, был бы похож, если бы Вы знали, что файлу могли бы законно быть нужны различные пользователи/группы, чтобы иметь доступ к нему, но по некоторым причинам вещи становились сложными с полномочиями, и Вы хотели способ сказать "Независимо от того, что другие полномочия по умолчанию установлены на, независимо от того, что их составы группы, или независимо от того, что рекурсивный setfacl выполняется позже, ОПРЕДЕЛЕННО не ВЫДЕЛЯЙТЕ ЭТО!" У пользователя владения есть особый статус в мире POSIX, он имеет права, которые другие пользователи не имеют, как способность быть некорневыми и изменить полномочия на файле и иметь его права не быть ограниченными маской (который был бы бессмыслен так или иначе из-за первого полномочия, которое система дает им). Поэтому они все еще получают rwx даже при том, что маска ограничивается.
Отвечать на Ваш конкретный вопрос хотя: добавьте, что запись укусила к маске в файл и попробовала еще раз как john
пользователь.
вот версия командной строки вышеупомянутого объяснения, примите во внимание, как "эффективные" права изменяются, когда все, что я изменяю, является маской.
Это невозможно. CP, rsync, и т.д. создает файлы, игнорирующие ACLs по умолчанию
https://serverfault.com/questions/183800/why-does-cp-not-respect-acls