Почему отдельный пользователь для заданий MPI?
Во многих руководствах по настройке кластера с MPI предлагается создать отдельного пользователя с ограниченными правами ( 1 , ] 2 ). Это означает, что для выполнения заданий требуется вход в систему под отдельным пользователем, и это, очевидно, еще один шаг.
Почему это необходимо или чего это позволяет? Есть ли причина не , чтобы просто использовать пользователя по умолчанию?
(Мы запускаем этот кластер как образовательный проект: полностью автономный, с физическим доступом, требуемым известными пользователями, поэтому простота предпочтительнее безопасности.)
Пользователь службы допускает принцип наименьших привилегий. Вы можете наложить квоты или ограничения на службу, не затрагивая пользователя. Любые плохие вещи, которые он может сделать, например, удалить файлы пользователя, ограничены по объему.
Это также предсказуемо. Стандартный пример документации удобен.Вы можете написать сценарий инициализации для удобства запуска его как службы. Ожидается, что этот пользователь будет использовать много ресурсов.