问题1:相同用户和组的推理
您好,我是ecyoung,您是horgix。我们每天上班,并与程序员登录到同一Linux Server。不久前的一天,我们的系统管理员决定简化用户的创建和维护工作,因此他关闭了该USERGROUPS_ENAB
选项,并将所有现有用户置于新users
组中。
这样做确实使用户创建更加容易,但是却很难维护,因为所有用户都可以访问所有其他用户文件。在公司环境中,由于Sarbanes Oxley之类的原因,这是一个很大的否定(和职责分离。如果我创建文件A,则将“组位”设置为“用户组”,这意味着所有用户至少可以读取文件A。如果sys admin懒惰,则在某些情况下,所有用户都可以RW文件A。这使Sarbanes Oxley败了和SoD,因为单独的部门应该不能少读任何其他人的文件。
启用“用户/组”后,如果我以ecyoung身份创建文档,则只有我具有rwx权限。由于没有其他人在我的群组中,因此当他们打开我的文档时,他们会看到带有警告的空白页。这将强制执行Sarbanes-Oxley和SoD。如果我邀请其他用户,则这些用户将被授予rw访问权限,通过这样做,我知道他们看到的内容将不会再次咬我或他们。就像其他人说的那样,如果在家,分开对您来说并不重要。如果确定,则可以安全地关闭该选项,所有用户都将添加到users
GID为100组中。请参阅下面的问题2。
假想:
您从事IT工作,路易斯从事薪资工作。路易斯将“计税和工资表”保留在她的主目录中,但是您都在“用户”组中,因此您可以打开她的主目录,因为该目录为用户标记了+ r并找到了她的电子表格。您会在列表中找到自己的薪水金额,以及乔和弗雷德的薪水。您认为乔和弗雷德想让您知道他们的薪水吗?
问题2:组ID的0到500
组ID和相反的用户ID 0-500保留用于系统帐户和设备访问。有关标准帐户的列表,请参见“ 预配置的系统组”表。请不要手动删除这些帐户。例如,如果要删除用户ftp,请在软件包管理系统中删除ftp守护程序。这样做还将删除系统帐户。系统服务包括但不限于:
- CUPS打印服务
- MySQL服务器守护进程
- FTP服务器守护程序
- Apace Web服务器
- 用于远程连接的X Server套接字
- ALSA声音系统守护程序
- DBUS服务
还有其他人,因此,如果其他读者想要从上面的“服务”列表中添加或删除,请这样做。