Для того чтобы гугл тебя понял - ищи «наследование прав». Но единого общего решения не будет.

Как можно красиво такое реализовать?

очевидный man systemd.path

Всё оказалось намного проще, юзаем bindfs и никаких проблем, например:

sudo mount  /dev/mapper/test /media/key
sudo bindfs -o perms=0600,mirror=@root --force-group=root /media/key /media/test

/media/test - права 600 и root:root

Все копируемые, перемещаемые, создаваемые файлы и папки будут с атрибутом прав 600 и root:root.

Задача решена, всем спасибо.

необходимо ли

1. на самом деле обходимо: если не запускать внутри /dir програм от левых пользователей внутри, достаточно

chmod og-x /dir
chown root /dir

Однако: если ты раздаёшь рутовые права кому попало - это не нужно. Если нет - ты контроллируешь способ, которым «туда» попадают файлы. Потому:

2. перенести /dir в отдельную ФС и не использовать программы, пытающиеся без просу сохранять права

echo 'function mv { rsync --remove-source-files "$@"; }' >>/root/.bashrc

3. ну, а если ты не веришь в дисциплинированность root-а - отбери у него CAP_CHOWN.