См. также этот вопрос двумя месяцами ранее:установка 'x' (исполняемого )бита с помощью ACL . В официальной документации есть хороший указатель на то, где это определено, в ответе ilkkachu .
Приложения создают файлы с заданным режимом. Затем режим ограничивается, но никогда не расширяется текущимumask
:
strace touch a
...
open("a", O_WRONLY|O_CREAT|O_NOCTTY|O_NONBLOCK, 0666) = 3
напр. У меня есть umask
из 002, который ограничивает созданный выше файл до 0664/-rw-rw-r--
(, просматриваемого с помощьюstat a
).
Насколько я понимаю, это также ограничивает ACL. ACL не могут превышать разрешения, которые вы видите при чтении режима файла, поэтому
Доступ группы will
к вашему файлу не может превышать rw-
. Это обеспечивается с помощью mask
ACL..., что объясняет «эффективные» комментарии в выводе getfacl. РЕДАКТИРОВАТЬ :маска применяется ко всем записям ACL, кроме «пользователя ::», (, владельца файла )и «другого :». Все такие записи ACL ограничены маской.
Доступ пользователей и групп, отличных от will
и will
, не может превышать r--
.
Я понял, я использовал GNU Debugger
или gdb
для создания отстойника ядра для контейнера снаружи контейнера,