Eu tenho um usuário que eu uso para backup, e eu uso setfacl para dar a esse usuário acesso aos arquivos. No entanto, setfacl altera a entrada de ACL base para o grupo e alguns aplicativos exigem que a entrada de ACL de base para o grupo seja 0 (sem leitura, gravação nem execução). Existe uma maneira que eu posso dar o acesso de leitura do usuário de backup sem os aplicativos ficando uppity? Um exemplo abaixo de como setfacl e as entradas de base da ACL interferem:
user@host:/tmp$ umask 0077
user@host:/tmp$ touch a
user@host:/tmp$ ls -l a
-rw------- 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ setfacl -m u:nobody:rX a
user@host:/tmp$ ls -l a
-rw-r-----+ 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ chmod 600 a
user@host:/tmp$ getfacl a
user:nobody:r-- #effective:---
EDIT: Eu poderia usar o root como meu usuário de backup, mas não acho que deveria. Eu estou usando rsnapshot (usando rsync (usando ssh)) para fazer backup em um sistema remoto, e acho que teria PermitRootLogin para ssh ou fazer meu usuário de backup uid 0. Além disso, eu gostaria que o backup fosse automatizado, que estou fazendo atualmente com chaves ssh. Embora eu não me importe se o sistema de backup tiver acesso de leitura ao sistema de backup, eu me importaria se tivesse acesso de gravação.
Não. Se uma ACL POSIX estiver presente, as permissões de "grupo" do Unix serão mapeadas para a entrada ACL mask:: , que define o máximo permitido de permissões para todas as entradas da ACL, para não quebrar a compatibilidade com ferramentas que não reconhecem a ACL. (Veja esta resposta no ServerFault para uma explicação detalhada.)
Tags backup ext4 acl linux group-policy