Всеми нашими пользователями управляют с центральным LDAP. Когда мой предшественник в управлении инфраструктурой создал ldap, он отказался создавать группы пользователей (значение групп того же имени и GID как пользователь (s UID)), и все пользователи совместно используют одну основную группу "пользователи". Это - то же поведение, как будто Вы установили бы установку USERGROUPS_ENAB в/etc/login.defs к нет.
В сочетании с глобальным UMASK 027 всех созданных файлов (и не измененные мудрые права доступа) читаемы всеми другими пользователями. Поскольку все больше пользователей получает доступ оболочки к некоторым машинам, за которыми это ухаживает, получают проблему.
Как Вы смягчили бы эту проблему? Вы создали бы группу пользователей для каждого пользователя и изменили бы группы по умолчанию на ту группу, или я должен изменить umask на 077?
Первый вариант был бы лучше на нашем файловом сервере, потому что там у нас есть папки с набором битов SETGID так, чтобы группы могли обмениваться файлами.
Что Вы делаете на своих серверах?
Я нашел две дискуссии на эту тему:
http://comments.gmane.org/gmane.linux.redhat.fedora.general/407367 https://unix.stackexchange.com/questions/156473/reasons-behind-the-default-groups-and-users-on-linux
Вывод по обоим вариантам заключается в том, что оба варианта действительны и что лучше зависит от вашего опыта. Похоже, что наш юзакейс изменился с "всего лишь несколько LDAP-пользователи в системе, которые в основном равны" с "Много LDAP-пользователей в системе, которым также нужно скрывать файлы друг от друга". Поэтому я думаю, что мы должны изменить нашу LDAP-структуру.
.