> А в педальном юниксном rwx ничего подобного нету, ACL только для галочки
> и чтоб не стыдно было перед пацанами во дворе. Коммерческие юниксы в них точно такие же. Для работающей системы acl надо переписать весь юникс - с учетом того, что, внезапно, вот тут вроде бы юзеру можно, но для одной из его secondary groups - внезапно, noaccess.
И вряд ли это будет работать - хорошо.
поэтому остается только сосамба - поскольку к ней ходят винды, и виндовые юзвери, не имеющие прямого отношения к системным, в сочетании с ней acl'и кое-как и работают. В смысле, ими можно действительно воспользоваться для чего-то полезного.
А у нас и дальше будет вот так:
Dec 18 14:43:31 v kernel: [1884135.850569] audit: type=1400 audit(1545129811.777:12): apparmor="DENIED" operation="capable" profile="/usr/bin/man" pid=2369 comm="pager" capability=1 capname="dac_override"
все знают, откуда этот бред и почему его изобретателя надо было удавить маленьким?