我们所有的用户都使用中央LDAP进行pipe理。 当我的前任pipe理基础架构创build了ldap时,他决定不创build用户组(即与用户(UID)相同名称和GID的组),并且所有用户共享一个主组“用户”。 这与将/etc/login.defs中的USERGROUPS_ENAB设置设置为no的行为相同。
结合027的全局UMASK,所有其他用户都可以读取所有创build的文件(而不是修改访问权限)。 随着越来越多的用户通过shell访问某些机器,这往往会遇到问题。
你将如何缓解这个问题? 您是否会为每个用户创build一个用户组,并将默认组更改为该组,还是应该将umask更改为077?
第一个选项在我们的文件服务器上更好,因为我们有SETGID位设置的文件夹,以便组可以交换文件。
你在你的服务器上做什么?
我发现了两个关于这个话题的讨论:
http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on -linux
两者的结论是,两个变种是有效的,哪个更好取决于你的用例。 看来我们的用例已经从“系统中只有less数几乎所有的LDAP用户都是平等的”变成了“系统中的很多LDAP用户也需要彼此隐藏文件”。 所以我认为我们必须改变我们的LDAP结构。