Мне нужно было предоставить доступ к пользователю sam только на /var/xyz и заблокировать содержимое списка других папок внутри /var/
Я использовал следующую последовательность команд:
Таким образом, пользователь может видеть каталоги, перечисленные в разделе /var/, но не может видеть содержимое под вспомогательными каталогами, кроме /var/xyz.