Para responder a minha própria pergunta aqui, eu escrevi um pequeno daemon que aceita um arquivo de configuração YAML simples e, em seguida, impõe a propriedade do arquivo, o grupo e as permissões. É chamado reforçado ( link ) - você precisará de Go (golang) para construí-lo.
Ele faz uma pesquisa inicial das pastas em configuração e, em seguida, configura-se para observar qualquer alteração de arquivo, corrigindo imediatamente quaisquer arquivos que sejam alterados.
Espero que seja de ajuda para outra pessoa.