Eu tenho um usuário que uso para backup e para setfaclconceder a esse usuário acesso aos arquivos. No entanto, setfaclaltera a entrada ACL base para o grupo e alguns aplicativos exigem que a entrada ACL base para o grupo seja 0(sem leitura, gravação ou execução). Existe uma maneira de conceder acesso de leitura ao usuário de backup sem que os aplicativos fiquem arrogantes? Um exemplo abaixo de como setfaclas entradas da ACL base interferem:
user@host:/tmp$ umask 0077
user@host:/tmp$ touch a
user@host:/tmp$ ls -l a
-rw------- 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ setfacl -m u:nobody:rX a
user@host:/tmp$ ls -l a
-rw-r-----+ 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ chmod 600 a
user@host:/tmp$ getfacl a
user:nobody:r-- #effective:---
EDIT: eu poderia usar root como meu usuário de backup, mas acho que não deveria. Estou usando rsnapshot (usando rsync (usando ssh)) para fazer backup em um sistema remoto e acho que teria que PermitRootLogin para ssh ou tornar meu usuário de backup uid 0. Além disso, gostaria que o backup fosse automatizado, o que estou fazendo atualmente com chaves ssh. Embora eu não me importe se o sistema de backup tiver acesso de leitura ao sistema de backup, eu me importaria se ele tivesse acesso de gravação.
Responder1
Não. Se uma ACL POSIX estiver presente, as permissões do "grupo" Unix serão mapeadas para a mask::entrada ACL, que define o máximo de permissões permitidas para todas as entradas ACL, para não quebrar a compatibilidade com ferramentas que não reconhecem ACL. (Veresta resposta no ServerFaultpara uma explicação detalhada.)