Com a proposta desatualizada do ACL de 1993, que foi retirada em 1997, não há como fazer isso, pois a barra sempre pode alterar as permissões de uma maneira que poderia impedir que foo seja capaz de controlar as coisas. Observe que essa proposta do ACL nunca se tornou um padrão porque os usuários estão insatisfeitos com ela desde o início.
Eu recomendo usar um sistema de arquivos mais moderno, como o ZFS, que suporte o padrão moderno da ACL derivado do NTFS e que agora esteja padronizado na definição do NFSv4. Com as ACLs do NFSv4, você pode configurar uma ACL dedicada que seja a única pessoa que pode controlar as definições da ACL e com as ACLs padrão nos diretórios que se propagam automaticamente, as permissões necessárias podem ser configuradas de forma a conceder acesso à barra mas não a permissão para alterar as ACLs. Veja a man page chmod: link para informações sobre as ACLs do NFSv4.