Должны ли группы пользователей быть включены?

Question

Должны ли группы пользователей быть включены?

Все наши пользователи управляются с центральным LDAP. Когда мой предшественник в управлении инфраструктурой создал ldap, он решил не создавать группы пользователей (то есть группы с тем же именем и GID, что и у пользователя (sID)), и все пользователи делят одну основную группу "пользователи". Это такое же поведение, как если бы вы установили для параметра USERGROUPS_ENAB в /etc/login.defs значение no.

В сочетании с глобальной UMASK, равной 027, все созданные файлы (а не измененные права доступа) доступны для чтения всем остальным пользователям. Поскольку все больше и больше пользователей получают доступ к некоторым компьютерам через оболочку, возникает проблема.

Как бы вы смягчили эту проблему? Вы бы создали группу пользователей для каждого пользователя и изменили бы группы по умолчанию на эту группу, или я должен изменить umask на 077?

Первый вариант был бы лучше на нашем файловом сервере, потому что там у нас есть папки с установленным битом SETGID, чтобы группы могли обмениваться файлами.

Что ты делаешь на своих серверах?

2

groups umask setgid

Источник

Clemens Bergmann 12 дек '14 в 09:28

1 ответ

Решение

Другие вопросы по тегам groups umask setgid

Clemens Bergmann 20 дек '14 в 23:49 2014-12-20 23:49 · Accepted Answer · 2014-12-20 23:49

Я нашел две дискуссии на эту тему:

http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on-linux

Вывод о том, что оба варианта действительны и что лучше, зависит от вашего варианта использования. Похоже, наш вариант использования изменился с "только несколько пользователей LDAP в системе, которые в основном равны" на "множество пользователей LDAP в системе, которым также нужно скрывать файлы друг от друга". Поэтому я думаю, что мы должны изменить нашу структуру LDAP.