我正在遵循MySQL Secure Deployment Guide中的安装/设置说明,其中说要创建 mysql 组:
groupadd -g 27 -o -r mysql
-o允许添加具有非唯一 GID 的组。我在我的机器上检查了 /etc/group 并且 sudo 组使用 GID 27
sudo:x:27:ivan
我还检查了另一台运行不同 Linux 发行版的机器,它有一个不同的组 ( dialout) 占用 GID 27。
使用非唯一 GID 会有什么影响?为什么这些说明会建议这样做?
我对该文档的阅读并没有使我相信其目的是分享该
sudo小组。在我看来,开发人员选择 27 是因为它在他们的系统上未使用,并且其目的是创建一个新的 GID 27 组。但是,他们将标志添加到 中,mysql破坏了这种信念,因为这明确允许新组共享一个现有的 GID,这不利于职责分离,因此不利于安全。-ogroupadd如果是我,我会允许
groupadd选择 GID;我不确定是否需要系统 GID(比 /etc/login.defs:GID_MIN 少一个)。或者
然后使用
mysql名称引用组,不要依赖 GID 为 27。快速搜索该文档中的“27”除了您已经找到的页面之外,没有找到任何匹配项。没有结果chgrp,唯一的命中chown是在安装后设置中,他们在其中使用组名:和
(我已经调整了命令以显示完整路径与文档中的相对路径)。