O acesso à propriedade inclui o acesso para definir o ID do grupo, os bits de permissões e as ACLs; Portanto, não há nada que você possa fazer para impedir que os proprietários de um arquivo definam essas coisas.
Naturalmente, oculto nessa frase está a semente de duas abordagens diferentes:
-
Não conceda acesso de propriedade em primeiro lugar. Não torne as contas de usuário os proprietários dos arquivos. Em vez disso, use
setfacl
para conceder às contas de usuário individuaisrwx
(ou qualquer outro) acesso em uma ACL. Faça-os pertencer a alguma outra conta, designada a um grupo de que as contas não fazem parte e que não sejam acessíveis ao mundo. As desvantagens aqui são coisas como cotas de disco. -
Use uma forma de controle de acesso que o proprietário possa ativar novamente. Torne as contas de usuários individuais os proprietários, mas use
setfacl
para conceder acesso à conta do daemonrw-
(ou qualquer outra) em uma ACL. A desvantagem aqui é que as contas de usuário podem desativar o acesso em primeiro lugar.
Avalie os trade-offs de acordo com a necessidade. Use as ACLs padrão no diretório pai se quiser definir automaticamente essas ACLs em todos os arquivos criados.