man setfacl
...
To help the user ensure these rules, setfacl creates entries from existing entries under the following conditions:
* If an ACL contains named user or named group entries, and no mask entry exists, a mask entry containing the same permissions as the group entry is created.
If an ACL contains named user or named group entries, and no mask entry exists
Это вообще как может быть, чтобы была запись для именованного (читай: не владельца, не члена группы, не другого(читай: левого пользователя)) пользователя и не было маски?
...Запись для левого пользователя создаётся этим же инструментом setfacl и ОБЯЗАТЕЛЬНО тут же добавляется маска (даже если использовать опцию -n маска всё равно создастся, просто она не пересчитается, но сейчас не об этом).
Это во-первых. Во-вторых, закон: есть запись для левого пользователя- есть маска.
и ещё:man acl:
...
VALID ACLs
...
An ACL that contains entries of ACL_USER or ACL_GROUP tag types must contain exactly one entry of the ACL_MASK tag type.
Но нет же, вполне себе допускается, что левый пользователь будет, а маски не будет. Кошмар какой. Или я не понимаю чего? (случаи ручного наглого вмешательства в расширенные атрибуты не рассматриваем). Спасибо, кто откликнется. Debian 12.man setfacl
...
Whenever an ACL contains named user entries or named group objects, it must also contain an effective rights mask.