文件上的 ACL 掩码和标准组权限有何关系？

首先，我创建一个文件并检查它的标准权限和 ACL 条目：

$ touch file; ls -l file; getfacl file
-rw-r--r-- 1 user user 0 Jul 30 16:26 file
# file: file
# owner: user
# group: user
user::rw-
group::r--
other::r--

然后我在文件上设置 ACL 掩码，并再次检查它的标准权限和 ACL 条目：

$ setfacl -m mask:rwx file
$ ls -l file; getfacl file
-rw-rwxr--+ 1 user user 0 Jul 30 16:26 file
# file: file
# owner: user
# group: user
user::rw-
group::r--
mask::rwx
other::r--

请注意，文件上的 ACL 掩码标准组权限也发生了更改。

1. ACL 掩码和标准组权限之间存在什么联系？
2. ACL掩码和文件组权限耦合的原因是什么？其背后有何逻辑？

有问题的发行版是 Debian Linux 7.6 和 CentOS 7

---

编辑

此时我只想分享我在研究标准文件组权限和 ACL 掩码之间的关系时得出的一些发现。以下是我发现的经验观察：

1. ACL 掩码可以更改：

   1. 直接用命令设置setfacl -m m:<perms>；
   2. 通过使用chmod命令更改文件组权限（如果 ACL 掩码已存在；它可能不存在，因为如果文件上没有命名用户或组 ACL 权限，则它是可选的）；
   3. 通过添加指定用户或组 ACL 条目（掩码将自动重新计算）。

2. 仅当掩码直接由 setfacl 设置或通过 chmod 修改文件组权限（不自动计算）时，掩码才会强制实施最大访问权限（如果存在权限超出 ACL 掩码权限的 ACL 条目）。对 ACL 条目的任何更改都会触发 ACL 掩码自动重新计算并有效关闭“强制模式”。

3. 使用 ACL 时，有一些副作用会隐式影响标准文件组权限：

   1. 应用于文件的指定用户或组 ACL 条目可以更改 ACL 掩码（增加其权限），从而更改有效的文件组权限。例如，如果您作为文件所有者，设置了“rw-r--r-- jim Students”权限，并且您还向用户“jack”授予了 rw 权限，那么您还将隐式向任何人授予 rw 权限来自“学生”组。
   2. 更严格（权限更少）的ACL掩码可以永久删除相应的标准文件组权限。例如，如果您有一个具有 rw 标准文件组权限的文件，并且您对该文件应用只读 ACL 掩码，则该文件的组权限将降低为只读。然后，如果您删除所有扩展 ACL 条目（使用setfacl -b命令），组权限将保持只读状态。这仅适用于更严格的 ACL 掩码，更软的 ACL 掩码（更多权限）在删除后不会永久更改原始文件组权限。