すべてのユーザーは中央のLDAPで管理されます。インフラストラクチャを管理する前任者がLDAPを作成したとき、彼はユーザーグループ(ユーザーのUIDと同じ名前とGIDのグループを意味する)の作成に反対し、すべてのユーザーが1つのプライマリグループ「users」を共有することにしました。これは、/ etc /login.defsのUSERGROUPS_ENAB設定をnoに設定する場合と同じ動作です。
027のグローバルUMASKと組み合わせて、作成された(アクセス権に関して変更されていない)すべてのファイルは、他のすべてのユーザーが読み取ることができます。ますます多くのユーザーが一部のマシンにシェルアクセスを取得するにつれて、これは問題になる傾向があります。
この問題をどのように軽減しますか?ユーザーごとにユーザーグループを作成し、デフォルトのグループをそのグループに変更しますか、それともumaskを077に変更する必要がありますか?
グループがファイルを交換できるようにSETGIDビットが設定されたフォルダーがあるため、最初のオプションはファイルサーバーに適しています。
サーバーで何をしていますか?
私はこのトピックに関する2つの議論を見つけました:
http://comments.gmane.org/gmane.linux.redhat.Fedora.general/407367https://unix.stackexchange.com/questions/156473/reasons-behind- the-default-groups-and-users-on-linux
両方の結論は、両方のバリアントが有効であり、どちらがユースケースに依存するかということです。私たちのユースケースは、「システム上でほとんど同じである少数のLDAPユーザーのみ」から「ファイルを互いに非表示にする必要があるシステム上の多数のLDAPユーザー」に変わったようです。したがって、LDAP構造を変更する必要があると思います。