Что означает УЭКР в Oracle Linux?

По этому поводу определенно не хватает документации. Из того, что я могу сказать, основываясь на собственном опыте, это:

setfaclне делает ничего, кроме добавления, изменения или удаления записи управления доступом (ACE )для заданного списка управления доступом (ACL ). Никакие другие элементы управления доступом в любых других списках управления доступом не затрагиваются, даже если некоторые из этих элементов управления доступом были унаследованы от измененного элемента управления доступом. Те другие «унаследованные» ACE остаются неизменными.

ACE наследуется только во время создания наследующего его файла или каталога .

Это означает, что если вы собираетесь модифицировать ACE с установленными битами наследования fили d, вы несете ответственность за ручное «распространение» этого изменения на все, что ранее унаследовано от него. ЕСЛИ ЭТО ПОВЕДЕНИЕ ЧТО ТЫ ХОЧЕШЬ. В некоторых случаях это может быть не так, и, вероятно, именно поэтому FreeBSD не делает это автоматически.

Например:

mkdir -p test_dir
getfacl test_dir
# file: test_dir
# owner: root
# group: wheel
#           owner@:rwxp--aARWcCos:-------:allow
#           group@:r-x---a-R-c--s:-------:allow
#        everyone@:r-x---a-R-c--s:-------:allow
setfacl -m g:staff:read_set:fd:allow test_dir # <- CREATE NEW ACE
getfacl test_dir
# file: test_dir
# owner: root
# group: wheel
#      group:staff:r-----a-R-c---:fd-----:allow <- NEW INHERITING ACE
#           owner@:rwxp--aARWcCos:-------:allow
#           group@:r-x---a-R-c--s:-------:allow
#        everyone@:r-x---a-R-c--s:-------:allow
mkdir -p test_dir/child_dir
getfacl test_dir/child_dir
# file: test_dir/child_dir
# owner: root
# group: wheel
#      group:staff:r-----a-R-c---:fd----I:allow <- NEW ACE INHERITED ON CREATE
#           owner@:rwxp--aARWcCos:-------:allow
#           group@:r-x---a-R-c--s:-------:allow
#        everyone@:r-x---a-R-c--s:-------:allow
touch test_dir/child_file
getfacl test_dir/child_file 
# file: test_dir/child_file
# owner: root
# group: wheel
#      group:staff:r-----a-R-c---:------I:allow <- NEW ACE INHERITED ON CREATE
#           owner@:rw-p--aARWcCos:-------:allow
#           group@:r-----a-R-c--s:-------:allow
#        everyone@:r-----a-R-c--s:-------:allow
setfacl -m g:staff:full_set:fd:allow test_dir # <- MODIFY ACE
getfacl test_dir
# file: test_dir
# owner: root
# group: wheel
#      group:staff:rwxpDdaARWcCos:fd-----:allow <- MODIFIED INHERITING ACE
#           owner@:rwxp--aARWcCos:-------:allow
#           group@:r-x---a-R-c--s:-------:allow
#        everyone@:r-x---a-R-c--s:-------:allow
getfacl test_dir/child_dir
# file: test_dir/child_dir
# owner: root
# group: wheel
#      group:staff:r-----a-R-c---:fd----I:allow <- DID NOT CHANGE
#           owner@:rwxp--aARWcCos:-------:allow
#           group@:r-x---a-R-c--s:-------:allow
#        everyone@:r-x---a-R-c--s:-------:allow
getfacl test_dir/child_file 
# file: test_dir/child_file
# owner: root
# group: wheel
#      group:staff:r-----a-R-c---:------I:allow <- DID NOT CHANGE
#           owner@:rw-p--aARWcCos:-------:allow
#           group@:r-----a-R-c--s:-------:allow
#        everyone@:r-----a-R-c--s:-------:allow

# MODIFY INHERITED ACEs TO MATCH MODIFIED INHERITING ACE
setfacl -m g:staff:full_set:fdI:allow test_dir/child_dir
setfacl -m g:staff:full_set:I:allow test_dir/child_file

Итак, отвечая на ваши вопросы:

1. setfaclне пропагандирует какие-либо изменения существующих унаследованных ACE.
2. FreeBSD ничего не пересчитывает на лету.
3. Полномочия вступают в силу только после того, как вы установите их вручную.
4. Нет, вам не нужно делать их явными. В вашем сценарии вы, вероятно, захотите обновить существующие унаследованные ACE (с установленным флагом I)с теми же изменениями, которые вы внесли в наследующий ACE.

Два актуальных выпуска FreeBSD, которые вы, возможно, захотите посмотреть:

• https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=155163
• https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=218501