シングルユーザー共有とマルチユーザー共有

まあ、私は別のアカウントのアイデアに反対する2つの主張を考えることができます。

まず、クラシックUNIXグループは、一般的な共有ファイルツリーに比べて大きな欠陥があります。つまり、各ユーザーとそれらが実行するすべてのスクリプトには、ファイルとディレクトリグループを書き込み可能にするためにumaskが必要であり、すべてのディレクトリにグループ固定ビットを適用する必要があります。 。実際には、多くのスクリプトが制限的なumaskを指定し、rsync -a自分が所有するディレクトリにcp -aファイルをパブリックツリーに入れると、tar -xグループ固定ビットを追加してグループを共有するように変更するのを忘れやすいので、難しいです。結局、Joeが所有するファイルのサブツリーが作成され、Joeは休暇中またはランチに行きます。誰かがそのファイルを変更し、システム管理者に行って修正する必要があります。 IMHO、Unixの権限はシンプルで効率的に設計されていますが、現実の世界ではそれほど実用的ではありません。

次に、このパブリックファイルツリーにバイナリが含まれていて、誰もがそのパスを$ PATHに追加した場合、セキュリティはまったくありません。誰でもグループ全体をハイジャックできるので、実際にお互いを信頼することをお勧めします。また、NFSを使用しているため、ユーザーが自分のワークステーションへのrootアクセス権を取得できる場合は、他のユーザーと同じように中央ファイルにアクセスできます。

ユーザーアカウントをキャンセルするアイデアは、パスワードが保存されているローカルワークステーションからそのアカウントを削除するだけですone。これは、NFSを使用すると、ファイルサーバーがユーザーがどのパスワードを入力したかを知らないためです。そして、彼らのワークステーションカーネルが「こんにちは、私のUIDは502です。私の代わりにこれをやってください」と言っているだけです。

したがって、組織がこの問題を推進する前に、必要なことを実際に達成できるかどうかを検討する必要があります。

プログラムのバージョンの混乱を軽減したい場合は、管理者が所有するバージョンをインストールするようユーザーに依頼することもできます。管理者が$ PATHのすべてを制御すると、セキュリティが向上します。

誰がファイルを変更しているかを確認するために別のアカウントが必要な場合は、INotify（Perlで書くことをお勧めします）を使用して共有ツリーを監視するデーモンを作成し、各g+rwx「開く」後にこれらのビットイベントを強制する必要がありますかもしれません。各「書き込み」イベント以降のUID。

助けてください...