J'ai remarqué qu'après avoir désinstallé le postgresql package dans ArchLinux le postgres l'utilisateur et le groupe ne sont pas supprimés automatiquement. Il en va de même pour certains autres packages. En approfondissant cette question, je suis tombé sur cette page, qui indique :
Les packages répertoriés ici utilisent
userdel/groupdelpour supprimer l'utilisateur qu'ils
ont créé. Ceux-ci ne doivent jamais être supprimés automatiquement car cela pose un
risque de sécurité si des fichiers sont laissés avec cette propriété.
Je me demande pourquoi laisser des fichiers avec cette propriété pose un risque de sécurité ?
Réponse acceptée :
Il s'agit d'un risque de sécurité car la propriété des fichiers dans le FS n'est pas stockée par nom symbolique, mais par UID et GID. Si un utilisateur est supprimé et que les fichiers restent la propriété de cet utilisateur, ils deviennent inaccessibles avec l'autorisation du propriétaire. Cependant, si un autre utilisateur est créé ultérieurement et se voit attribuer le même UID, cet utilisateur deviendra propriétaire des fichiers. Il s'agit potentiellement d'un risque de sécurité en raison des diverses manières dont la propriété des fichiers est utilisée comme mécanisme de sécurité; la forme la plus simple est celle où les informations confidentielles (par exemple, les clés SSH dans id_rsa et ainsi de suite, les informations d'authentification wi-fi dans wpa_supplicant.conf ) pourrait être divulgué au nouvel utilisateur.