Question 1: Raisonnement pour le même utilisateur et le même groupe
Bonjour, je suis ecyoung et vous êtes horgix. Nous allons travailler tous les jours et nous connectons au même serveur Linux que les programmeurs. Un jour, il n'y a pas longtemps, notre administrateur système a décidé de faciliter la création et la maintenance des utilisateurs, il a donc désactivé l' USERGROUPS_ENAB
option et placé tous les utilisateurs existants dans le nouveau users
groupe.
Cela a facilité la création d'utilisateurs, mais pas la maintenance, car tous les utilisateurs peuvent accéder à tous les autres fichiers des utilisateurs. Dans un cadre d'entreprise, c'est un grand non non en raison de choses comme Sarbanes Oxley et la séparation des tâches . Si je crée le fichier A, le bit de groupe est défini sur le groupe d'utilisateurs, ce qui signifie que tous les utilisateurs peuvent au moins lire le fichier A. Si l'administrateur système est paresseux, dans certains cas, tous les utilisateurs peuvent RW fichier A. Cela vainc Sarbanes Oxley et SoD parce que les départements séparés ne devraient pas être capables de lire et encore moins d'écrire le document d'autres personnes.
Avec l'utilisateur / le groupe activé si je crée un document en tant que ecyoung, seul j'ai les droits rwx sur celui-ci. Comme personne d'autre n'est dans mon groupe, lorsqu'ils ouvrent mon document, ils voient une page vierge avec un avertissement. Cela applique Sarbanes-Oxley et SoD. Si j'invite d'autres utilisateurs, ces utilisateurs sont autorisés à accéder à rw, et ce faisant, je sais que ce qu'ils voient ne reviendra pas me mordre, ni eux. Comme d'autres l'ont dit, si à la maison, cette séparation peut ne pas être importante pour vous. Si vous déterminez cela, vous pouvez désactiver l'option en toute sécurité et tous les utilisateurs seront ajoutés à un users
groupe avec un GID de 100. Voir la question 2 ci-dessous.
Hypothétique :
vous travaillez dans l'informatique et Louis travaille dans la paie. Louis conserve la feuille d'impôt et de paie dans son répertoire personnel, mais vous êtes tous les deux dans le groupe d'utilisateurs, vous ouvrez donc son répertoire personnel car il est marqué + r pour les utilisateurs et trouvez sa feuille de calcul. Vous trouverez le montant de votre salaire, ainsi que celui de Joe et de Fred. Pensez-vous que Joe et Fred aimeraient que vous connaissiez leur salaire ??
Question 2: ID de groupe de 0 à 500
Les ID de groupe et inversement les ID utilisateur 0 - 500 sont réservés aux comptes système et à l'accès aux appareils. Voir le tableau des groupes de systèmes préconfigurés pour la liste des comptes standard. Veuillez ne pas supprimer ces comptes à la main. Par exemple, si vous souhaitez supprimer le ftp utilisateur, supprimez le démon ftp avec votre système de gestion de packages. Cela supprimera également le compte système. Les services système comprennent, sans s'y limiter:
- Le service d'impression CUPS
- Le démon du serveur MySQL
- Le démon du serveur FTP
- Le serveur Web Apace
- Le socket X Server pour les connexions à distance
- Le démon ALSA Sound System
- Le service DBUS
Il y en a d'autres, donc si d'autres lecteurs souhaitent ajouter ou supprimer de la liste des services ci-dessus, veuillez le faire.