Todos os nossos usuários são gerenciados com um LDAP central. Quando meu predecessor no gerenciamento da infraestrutura criou o ldap, ele decidiu não criar grupos de usuários (ou seja, grupos com o mesmo nome e GID que o UID do usuário) e todos os usuários compartilham um grupo principal "usuários". Este é o mesmo comportamento como se você configurasse a configuração USERGROUPS_ENAB em /etc/login.defs como no.
Em combinação com o UMASK global de 027, todos os arquivos criados (e não os direitos de acesso modificados) podem ser lidos por todos os outros usuários. À medida que mais e mais usuários estão obtendo acesso ao shell para algumas máquinas, isso tende a ter um problema.
Como você atenuaria esse problema? Você criaria um grupo de usuários para cada usuário e mudaria os grupos padrão para esse grupo ou eu deveria mudar o umask para 077?
A primeira opção seria melhor em nosso servidor de arquivos, pois temos pastas com o conjunto de bits SETGID para que os grupos possam trocar arquivos.
O que você está fazendo nos seus servidores?
Encontrei duas discussões sobre esse assunto:
A conclusão em ambos é que ambas as variantes são válidas e que é melhor depende do seu uso. Parece que o nosso uso mudou de "apenas alguns usuários LDAP no sistema que são todos iguais" para "Muitos usuários LDAP no sistema que também precisam esconder arquivos uns dos outros". Portanto, acho que temos que mudar nossa estrutura de LDAP.