Sim, você pode ter entradas para vários grupos em uma ACL - na verdade, é o ponto principal do recurso da ACL.
(Exceto que você não precisa ter os grupos "próprios" da pasta de qualquer forma. Além das cotas de disco, o grupo "principal" não recebe nenhum privilégio especial que um proprietário faria, então você poderia fingir o oposto, de que a "propriedade do grupo" é apenas uma ACL limitada de 1 entrada.
Então, em termos setfacl
, sua ACL se pareceria com:
g:ftp_read:r, g:ftp_read_write:rw, g:ftp_read_write_execute:rwx
Embora não pareça um conjunto muito útil de permissões para mim. No FTP, os usuários não podem executar arquivos arbitrários de qualquer maneira, independentemente das permissões. Enquanto isso, eles exigem as permissões de execução em diretórios - ter apenas acesso + r em um diretório simplesmente permite que você veja os nomes dos arquivos.
Isso parece mais útil:
g:ftp_read:rx, g:ftp_read_write:rwx
Você pode definir isso como a ACL padrão para um diretório e o sistema POSIX ACL automaticamente "mascara" + x em arquivos recém-criados, resultando em + r para arquivos mas + rx para diretórios.