Tại sao mỗi người dùng có nhóm riêng của họ?

Một điều tôi nhận thấy trong rất nhiều bản phát hành gần đây là tất cả người dùng đều có các nhóm riêng có cùng tên với tên người dùng của họ. Mục đích của việc đó là gì? Các nhóm được tạo để nhóm người dùng với nhau theo một số cách, chẳng hạn như người dùng , quản lý , CNTT , v.v ... Có vẻ như vô nghĩa khi có tất cả các nhóm người dùng đơn lẻ này. Tôi dường như nhớ lại các hệ thống Unix trước đây đã có nhóm mặc định của mọi người là người dùng .

Về cơ bản, đó là một phần của chiến lược giảm thiểu một số lo ngại về bảo mật đồng thời cho phép người dùng một cách đơn giản để cộng tác với ít rắc rối về quyền.

Các hệ thống Linux có cái được gọi là umask , chỉ ra các quyền của tệp và thư mục được gán khi tạo. Theo mặc định, ô này thường là 022, tạo các tệp có 644 quyền (chủ sở hữu đọc / ghi, chỉ đọc nhóm, chỉ đọc khác) và tạo các cài đặt hạn chế thường được áp dụng cho các tệp và thư mục mới.

Thật không may, việc thiếu đọc / ghi cho nhóm có nghĩa là bạn phải dựa vào người đã tạo tệp để cấp quyền thích hợp cho một nhóm để chỉnh sửa nó (và người dùng không phải lúc nào cũng đáng tin cậy về điều này).

Một phần của cách giúp giải quyết vấn đề này là đặt một ô 002, kết quả là các tệp có 664 quyền (chủ sở hữu đọc / ghi, đọc / ghi nhóm , chỉ đọc khác). Nhưng điều này có thể có tác dụng phụ không mong muốn (ví dụ: các thành viên trong nhóm có thể chỉnh sửa các tệp riêng tư của nhau tùy thuộc vào các nhóm mặc định). Vì vậy, mỗi người dùng mới trở thành một phần của một nhóm mặc định chỉ với một người dùng (mô phỏng sơ đồ 022/644).

Tìm hiểu thêm về cách điều này giúp cộng tác: https://security.ias.edu/how-and-why-user-private-groups-unix