# restrictive perms
setfacl -R -dm u::rwX,g::---,o::---,m::--- <home>
setfacl -R -m u::rwX,g::---,o::---,m::--- <home>

# for libvirt
setfacl -m m::r-X <home>
setfacl -m u:libvirt-qemu:r-X <home>
setfacl -m m::r-X <home>/.vmdir
setfacl -m u:libvirt-qemu:r-X <home>/.vmdir