Názor k článku Díra v bashi, které si 20 let nikdo nevšiml od Heron - Samotná ACLka ti na tohle nepomůžou. Protože ten...

Samotná ACLka ti na tohle nepomůžou. Protože ten soubor vzniká s vlastníkem dle UID toho procesu. Ty sice může ACLka na složce nastavit tak, že default bude w, ale vlastník si ten mód může změnit. Takže si tam to rko přidá. A pomocí ACL to "nevyvlastníš".

Je potřeba nastavit onomu souboru jiného vlastníka, například tak, že se ta složka bude hlídat pomocí inotify a při změně se změní vlastník. Jenže když už se dělá toto, tak se rovnou ten soubor může přesunout na místo, kam ten zapisovací proces vůbec nevidí.