Во многих руководствах по настройке кластера с MPI предлагается создать отдельного пользователя с ограниченными разрешениями (1, 2). Это означает, что для выполнения заданий требуется вход в систему под отдельным пользователем, и это, очевидно, еще один шаг.
Зачем это нужно или чего можно добиться? есть ли смысл не просто использовать пользователя по умолчанию?
(Мы запускаем этот кластер как образовательный проект: полностью автономный, с физическим доступом, требуемым известными пользователями, поэтому простота предпочтительнее безопасности.)
Пользователь службы допускает принцип наименьших привилегий. Вы можете наложить квоты или ограничения на службу, не затрагивая пользователя. Любые плохие вещи, которые он может сделать, например, удалить файлы пользователя, ограничены по объему.
Это также предсказуемо. Стандартный пример документации удобен. Вы можете написать сценарий инициализации для удобства запуска его как службы. Ожидается, что этот пользователь будет использовать много ресурсов.