Estou tentando entender a diferença de comportamento entre as ACLs do FreeBSD e as ACLs do Linux. Em particular, o mecanismo de herança para as ACLs padrão.
Eu usei o seguinte no Debian 9.6 e no FreeBSD 12:
$ cat test_acl.sh
#!/bin/sh
set -xe
mkdir storage
setfacl -d -m u::rwx,g::rwx,o::-,m::rwx storage
touch outside
cd storage
touch inside
cd ..
ls -ld outside storage storage/inside
getfacl -d storage
getfacl storage
getfacl outside
getfacl storage/inside
umask
Eu recebo a seguinte saída do Debian 9.6:
$ ./test_acl.sh
+ mkdir storage
+ setfacl -d -m u::rwx,g::rwx,o::-,m::rwx storage
+ touch outside
+ cd storage
+ touch inside
+ cd ..
+ ls -ld outside storage storage/inside
-rw-r--r-- 1 aaa aaa 0 Dec 28 11:16 outside
drwxr-xr-x+ 2 aaa aaa 4096 Dec 28 11:16 storage
-rw-rw----+ 1 aaa aaa 0 Dec 28 11:16 storage/inside
+ getfacl -d storage
# file: storage
# owner: aaa
# group: aaa
user::rwx
group::rwx
mask::rwx
other::---
+ getfacl storage
# file: storage
# owner: aaa
# group: aaa
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::---
+ getfacl outside
# file: outside
# owner: aaa
# group: aaa
user::rw-
group::r--
other::r--
+ getfacl storage/inside
# file: storage/inside
# owner: aaa
# group: aaa
user::rw-
group::rwx #effective:rw-
mask::rw-
other::---
+ umask
0022
Observe que os arquivos outsidee insidetêm permissões diferentes. Em particular, o outsidearquivo tem -rw-r--r--, que é o padrão para este usuário e o insidearquivo tem -rw-rw----, respeitando as ACLs padrão que atribuí ao storagediretório.
A saída do mesmo script no FreeBSD 12:
$ ./test_acl.sh
+ mkdir storage
+ setfacl -d -m u::rwx,g::rwx,o::-,m::rwx storage
+ touch outside
+ cd storage
+ touch inside
+ cd ..
+ ls -ld outside storage storage/inside
-rw-r--r-- 1 aaa aaa 0 Dec 28 03:16 outside
drwxr-xr-x 2 aaa aaa 512 Dec 28 03:16 storage
-rw-r-----+ 1 aaa aaa 0 Dec 28 03:16 storage/inside
+ getfacl -d storage
# file: storage
# owner: aaa
# group: aaa
user::rwx
group::rwx
mask::rwx
other::---
+ getfacl storage
# file: storage
# owner: aaa
# group: aaa
user::rwx
group::r-x
other::r-x
+ getfacl outside
# file: outside
# owner: aaa
# group: aaa
user::rw-
group::r--
other::r--
+ getfacl storage/inside
# file: storage/inside
# owner: aaa
# group: aaa
user::rw-
group::rwx # effective: r--
mask::r--
other::---
+ umask
0022
(Observe que o Debian getfacltambém mostrará as ACLs padrão mesmo quando não estiver usando -dwhere, pois o FreeBSD não, mas não acho que as ACLs reais storagesejam diferentes.)
Aqui, os arquivos outsidee também têm permissões diferentes, mas o arquivo não tem a permissão de escrita de grupo que a versão Debian tem, provavelmente porque a máscara no Debian reteve a máscara no FreeBSD perdeu o .insideinsideww
Por que o FreeBSD perdeu a wmáscara, mas o Debian a manteve?
Em suma, eu diria (suponho) que eles estejam usando umask de maneira diferente.
0022 é exatamente grupo-outro não definido W. Você pode alterar umask para remover a proibição de gravação e verificar o resultado.
Citando o manual do Solaris, também conhecido como SunOS (e comentários também), já que isso parece estar bastante relacionado: "… O umask(1) não será aplicado se o diretório contiver entradas ACL padrão. …"