Groups

是否應該啟用使用者組?

  • March 17, 2015

我們所有的使用者都使用中央 LDAP 進行管理。當我管理基礎設施的前任創建 ldap 時,他決定不創建使用者組(即與使用者 UID 具有相同名稱和 GID 的組),並且所有使用者共享一個主要組“使用者”。這與將 /etc/login.defs 中的 USERGROUPS_ENAB 設置設置為 no 的行為相同。

與 027 的全域 UMASK 相結合,所有其他使用者都可以讀取創建的所有文件(而不是修改訪問權限)。隨著越來越多的使用者獲得對某些機器的 shell 訪問權限,這往往會出現問題。

你將如何緩解這個問題?您會為每個使用者創建一個使用者組並將預設組更改為該組,還是應該將 umask 更改為 077?

第一個選項在我們的文件伺服器上會更好,因為我們有設置了 SETGID 位的文件夾,以便組可以交換文件。

你在你的伺服器上做什麼?

我發現了關於這個主題的兩個討論:

http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on-linux

兩者的結論是兩種變體都是有效的,哪個更好取決於您的案例。似乎我們的案例已經從“系統上只有少數 LDAP 使用者基本相同”變為“系統上有很多 LDAP 使用者也需要相互隱藏文件”。因此我認為我們必須改變我們的 LDAP 結構。

引用自:https://serverfault.com/questions/652076