新しく作成されたユーザーがユーザー名のデフォルトグループに割り当てられるのはなぜですか?

新しく作成されたユーザーがユーザー名のデフォルトグループに割り当てられるのはなぜですか?

私は多くのLinuxディストリビューションで新しいユーザーが作成されるたびに独自の名前を持つデフォルトグループに割り当てられることを確認しました。

例えば。 「testuser」というユーザーを作成すると、デフォルトで「testuser」デフォルトグループに割り当てられます。

これにより、すべてのユーザーに独自の基本グループがあります。このグループに他のユーザーを追加する必要はないため、これらのグループには1人のユーザーしかいません。 「グループ」とは一般的に「1つ以上」を意味するため、これはやや直観に反します。

これらのユーザーデフォルトグループは、ファイル/フォルダに権限を割り当てようとするときに一般的に役に立ちません。

これがディストリビューションの基本的な動作である理由はありますか?この動作が実際に役立つユースケースはありますか?すべての新しいユーザーを「ユーザー」デフォルトグループに割り当てないのはなぜですか?

答え1

ユーザーを自分のグループに入れる理由(私が知っている限り唯一の理由)は、umask 002正しいumask 007デフォルト値を持つことです。

これマスク新しく作成されたファイルに対するデフォルト権限のマスク。数字はと同じ意味ですchmod。最初の数字はユーザーを表し、2番目の数字はグループを表し、3番目の数字は他のすべての人を表します。 umaskのビットが1の場合、新しく作成されたファイルの権限からそのビットが削除(マスク)されます。たとえば、アプリケーションが特定のプライバシー要件なしで実行できないファイルを生成すると、ファイル権限で666を渡し、umask 002を持つアプリケーションは権限664(0666 & ~002Cと同様の表記)を使用してファイルを生成します。ユーザーとグループ()のみを読み書きできますrw-rw-r--

umask 022を使用すると、デフォルトでは誰でもファイルを読み取ることができますが、作成者だけが書き込みできます。 umask 002では、ファイル所有者もここに書き込むことができます。ユーザーのデフォルトグループが唯一のユーザーで、umaskが002の場合:

  • rw-rw-r--デフォルトでは権限があるにもかかわらず、グループの他のユーザーには書き込み権限がないため、作成者だけがファイルを書き込むことができます。
  • 特定のグループのメンバーがファイルを変更できるようにするには、作成者がそれを使用するだけですchgrp。これは、ファイルが次に作成された場合でも自動的に発生する可能性があります。setgidビットを含むディレクトリまたはそれに対応する前方十字靭帯

022 umaskと比較しての利点は、この設定でユーザーがファイルを編集できるようにするには、作成者がグループ設定と権限拡張(chmod g+w)の2つのタスクを実行する必要があることです。人々は2番目のステップ(またはsetgidディレクトリの唯一のステップ)を忘れる傾向があります。

特定のプライバシー要件を持つファイルの例:暗号化キー電子メール、/tmp

答え2

すべてのユーザーをグループに追加するのは一般的ですが、usersこれにより、管理された方法でファイルを共有することが困難になります(誰もがアクセスできるようにグループ権限を公開する)。最近では、プロセスは複数のグループに属する可能性があるため、明示的なグループを追加してアクセスをオフにしてファイルを共有できるように、各ユーザーに独自のグループを提供するだけです。または(利用可能な場合)ACL

関連情報