ฉันสังเกตว่าหลังจากถอนการติดตั้งpostgresqlแพคเกจใน ArchLinux postgresผู้ใช้และกลุ่มจะไม่ถูกลบโดยอัตโนมัติ เช่นเดียวกับแพคเกจอื่น ๆ การตรวจสอบเพิ่มเติมนี้ฉันเจอหน้านี้แล้วซึ่งระบุว่า:
แพ็คเกจที่แสดงไว้ที่นี่ใช้
userdel/groupdelเพื่อลบผู้ใช้ที่พวกเขาสร้าง สิ่งเหล่านี้ไม่ควรถูกลบโดยอัตโนมัติเนื่องจากมันมีความเสี่ยงด้านความปลอดภัยหากไฟล์ใด ๆ ถูกทิ้งให้เป็นเจ้าของ
ฉันสงสัยว่าเหตุใดการปล่อยให้ไฟล์ที่มีความเป็นเจ้าของนี้มีความเสี่ยงด้านความปลอดภัย
คำตอบ:
นี่เป็นความเสี่ยงด้านความปลอดภัยเนื่องจากการเป็นเจ้าของไฟล์ใน FS นั้นไม่ได้จัดเก็บตามชื่อสัญลักษณ์ แต่โดย UID และ GID หากผู้ใช้ถูกลบและไฟล์ยังคงเป็นของผู้ใช้นั้นพวกเขาจะไม่สามารถเข้าถึงได้ภายใต้การอนุญาตของเจ้าของ อย่างไรก็ตามหากผู้ใช้อื่นถูกสร้างขึ้นในภายหลังซึ่งได้รับการจัดสรร UID เดียวกันผู้ใช้รายนั้นจะได้รับสิทธิ์การเป็นเจ้าของไฟล์ นี่อาจเป็นความเสี่ยงด้านความปลอดภัยเนื่องจากมีหลายวิธีที่การใช้ความเป็นเจ้าของไฟล์เป็นกลไกความปลอดภัย รูปแบบที่ง่ายที่สุดคือข้อมูลที่เป็นความลับ (เช่นคีย์ SSH id_rsaเป็นต้นข้อมูลการรับรองความถูกต้อง Wi-Fi ในwpa_supplicant.conf) สามารถรั่วไหลไปยังผู้ใช้ใหม่