Все наши пользователи управляются с помощью центрального LDAP. Когда мой предшественник по управлению инфраструктурой создавал ldap, он отказался от создания групп пользователей (то есть групп с тем же именем и GID, что и UID пользователя), и все пользователи используют одну основную группу «пользователи». Это такое же поведение, как если бы вы установили для параметра USERGROUPS_ENAB в /etc/login.defs значение no.
В сочетании с глобальной UMASK 027 все созданные файлы (без изменения прав доступа) доступны для чтения всем остальным пользователям. Поскольку все больше и больше пользователей получают доступ к оболочке для некоторых машин, это, как правило, становится проблемой.
Как бы вы смягчили эту проблему? Вы бы создали группу пользователей для каждого пользователя и изменили бы группы по умолчанию на эту группу, или мне следует изменить umask на 077?
Первый вариант был бы лучше на нашем файловом сервере, потому что там у нас есть папки с установленным битом SETGID, чтобы группы могли обмениваться файлами.
Что ты делаешь на своих серверах?
Я нашел две дискуссии по этой теме:
http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on-linux
В обоих случаях можно сделать вывод, что оба варианта допустимы, и какой из них лучше, зависит от вашего варианта использования. Похоже, что наш вариант использования изменился с «всего несколько пользователей LDAP в системе, которые все в основном равны» на «множество пользователей LDAP в системе, которым также необходимо скрывать файлы друг от друга». Поэтому я считаю, что нам нужно изменить нашу структуру LDAP.