Saya perhatikan bahwa setelah mencopot pemasangan postgresql paket di ArchLinux postgres pengguna dan grup tidak dihapus secara otomatis. Hal yang sama berlaku untuk beberapa paket lainnya. Menyelidiki ini lebih lanjut, saya menemukan halaman ini, yang menyatakan:
Paket yang tercantum di sini menggunakan
userdel/groupdeluntuk menghapus pengguna yang mereka
buat. Ini tidak boleh dihapus secara otomatis karena menimbulkan
risiko keamanan jika ada file yang tertinggal dengan kepemilikan ini.
Saya bertanya-tanya mengapa meninggalkan file dengan kepemilikan ini menimbulkan risiko keamanan?
Jawaban yang Diterima:
Ini adalah risiko keamanan karena kepemilikan file di FS disimpan bukan dengan nama simbolis, tetapi oleh UID dan GID. Jika pengguna dihapus dan file tetap dimiliki oleh pengguna itu, mereka menjadi tidak dapat diakses dengan izin pemilik. Namun, jika pengguna yang berbeda kemudian dibuat yang dialokasikan UID yang sama, pengguna tersebut akan mendapatkan kepemilikan file. Ini berpotensi menjadi risiko keamanan karena berbagai cara di mana kepemilikan file digunakan sebagai mekanisme keamanan; bentuk paling sederhana adalah di mana informasi rahasia (misalnya kunci SSH di id_rsa dan seterusnya, informasi otentikasi wi-fi di wpa_supplicant.conf ) bisa bocor ke pengguna baru.