Esse não é um problema tão fácil quanto se pode imaginar. O ponto é que
-
diretórios 'bit pegajoso
-
umask
-
até ACLs (e richacls)
são apenas padrões. Observar impede que um processo altere esses valores após a criação de um arquivo ou diretório. Um programa de arquivamento pode até estar interessado em restaurar os valores originais.
Não consigo reproduzir sua experiência em zip
. Eu tenho o Zip 3.0 (openSUSE 13.1). Aqui, o grupo persistente da pasta pai é herdado com sucesso.
Usar ACLs para ACLs padrão (adicionar o grupo explicitamente, ou seja, não como grupo de arquivos (ACL_GROUP_OBJ), mas como entrada pura da ACL) não impede que um aplicativo faça modificações, mas na minha experiência isso acontece com menos frequência.
A única forma segura é um daemon privilegiado que regularmente verifica novos arquivos / diretórios ou se mantém informado pelo FAM. Este daemon pode então alterar a propriedade do arquivo para que processos normais possam apenas modificar (e talvez excluir) o arquivo, mas não possam mais alterar seus direitos de acesso. Talvez isso possa ser feito com o FUSE também.