我们所有的用户都由一个中央 LDAP 进行管理。当我管理基础设施的前任创建 ldap 时,他决定不创建用户组(即与用户 UID 同名和 GID 的组),所有用户共享一个主要组“用户”。这与您将 /etc/login.defs 中的 USERGROUPS_ENAB 设置设置为 no 的行为相同。
结合全局 UMASK 027,所有创建的文件(且未修改访问权限)均可由所有其他用户读取。随着越来越多的用户获得某些机器的 shell 访问权限,这往往会带来问题。
您将如何缓解此问题?您是否会为每个用户创建一个用户组并将默认组更改为该组,还是我应该将 umask 更改为 077?
在我们的文件服务器上,第一个选项会更好,因为我们在那里设置了 SETGID 位的文件夹,以便群组可以交换文件。
您在服务器上做什么?
答案1
我发现了关于这个话题的两个讨论:
http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on-linux
结论是,两种变体都是有效的,哪种更好取决于您的用例。我们的用例似乎已从“系统上只有少数 LDAP 用户,它们基本上都是平等的”变为“系统上有很多 LDAP 用户,它们也需要相互隐藏文件”。因此,我认为我们必须更改我们的 LDAP 结构。