Câu hỏi 1: Lý do cho cùng một người dùng và nhóm
Xin chào, tôi là ecyoung và bạn là horgix. Chúng tôi đi làm hàng ngày và đăng nhập vào cùng một Máy chủ Linux như các lập trình viên. Một ngày trước, cách đây không lâu, quản trị viên hệ thống của chúng tôi đã quyết định giúp bản thân người dùng tạo và bảo trì dễ dàng hơn, vì vậy anh ta đã tắt USERGROUPS_ENAB
tùy chọn và đưa tất cả người dùng hiện tại vào users
nhóm mới .
Điều này đã giúp việc tạo người dùng dễ dàng hơn nhưng không bảo trì mà bạn thấy vì tất cả người dùng có thể truy cập tất cả các tệp người dùng khác. Trong môi trường doanh nghiệp, điều này là không lớn không phải do những thứ như Sarbanes Oxley và Phân chia nhiệm vụ . Nếu tôi tạo Tệp A, Bit nhóm được đặt thành Nhóm người dùng, điều đó có nghĩa là Tất cả người dùng ít nhất có thể đọc Tệp A. Nếu quản trị viên hệ thống lười biếng, thì trong một số trường hợp, tất cả người dùng có thể tệp RW A. Điều này đánh bại Sarbanes Oxley và SoD vì các bộ phận riêng biệt sẽ không thể đọc được nhiều tài liệu của người khác.
Với Người dùng / Nhóm được bật nếu tôi tạo tài liệu dưới dạng ecyoung thì chỉ tôi mới có quyền rwx đối với tài liệu đó. Vì không có ai khác trong nhóm của tôi, khi họ mở tài liệu của tôi, họ thấy một trang trống có cảnh báo. Điều này thi hành Sarbanes-Oxley và SoD. Nếu tôi mời những người dùng khác, những người dùng đó được phép truy cập rw và bằng cách đó tôi biết rằng những gì họ thấy sẽ không quay lại cắn tôi hoặc họ. Như những người khác đã nói, nếu ở nhà, sự tách biệt đó có thể không quan trọng đối với bạn. Nếu bạn xác định điều đó, thì bạn có thể tắt tùy chọn một cách an toàn và tất cả người dùng sẽ được thêm vào một users
nhóm có GID là 100. Xem Câu hỏi 2 bên dưới.
Giả thuyết :
Bạn làm việc trong CNTT và Louis làm việc trong Bảng lương. Louis giữ bảng Thuế và bảng lương trong thư mục nhà của cô ấy, nhưng bạn đều thuộc nhóm người dùng, vì vậy bạn mở thư mục nhà của cô ấy vì nó được đánh dấu + r cho người dùng và tìm bảng tính của cô ấy. Bạn tìm thấy mức lương của mình được liệt kê, cùng với Joe's và Fred's. Bạn có nghĩ Joe và Fred muốn bạn biết mức lương của họ không ??
Câu hỏi 2: ID nhóm từ 0 đến 500
ID nhóm và ngược lại 0 - 500 của ID người dùng được dành riêng cho tài khoản hệ thống và quyền truy cập thiết bị. Xem bảng nhóm hệ thống được cấu hình trước để biết danh sách Tài khoản chuẩn. Vui lòng không xóa các tài khoản này bằng tay. Ví dụ: nếu bạn muốn xóa ftp người dùng, hãy xóa daemon ftp bằng hệ thống quản lý gói của bạn. Làm như vậy cũng sẽ xóa tài khoản hệ thống. Dịch vụ hệ thống bao gồm nhưng không giới hạn ở:
- Dịch vụ in CUPS
- Máy chủ MySQL
- Máy chủ FTP
- Máy chủ web Apace
- Ổ cắm máy chủ X cho kết nối từ xa
- Hệ thống âm thanh ALSA Daemon
- Dịch vụ DBUS
Có những người khác, vì vậy nếu những người đọc khác muốn thêm hoặc xóa khỏi danh sách Dịch vụ ở trên, vui lòng làm như vậy.