LaC*_*LaC 5 services user-accounts macos
出于安全原因,某些第三方服务器应该在特殊用户下运行(例如,PostgreSQL 通常由“postgres”运行)。当然,这些服务用户不应出现在 Mac OS X 登录窗口中。我知道如何使用dsclor创建隐藏用户dsimport,但我想知道分配 UID(和匹配 GID)的最佳策略是什么。Apple 的文档指出,从 0 到 100 的 UID 是保留的(第 69 页),但 OS X 带有该范围之外的几个特殊用户和组。我曾经为服务使用 401 以后的 ID,但我注意到 OS X 10.6 已开始将该范围用于由系统偏好设置中的共享窗格创建的组。
那么,建议用于第三方服务的 ID 范围是多少?也许我应该只使用 500 范围内的 ID,因为在 Snow Leopard 中隐藏用户所需的只是将他的密码设置为“*”?
此外,大多数 Apple 服务的名称都以下划线开头,别名为 sans underscore;例如,_sandbox和sandbox。这有什么特别的意义吗?我应该为我的服务做同样的事情吗?
编辑:虽然我说的是“或dsimport”,但确实应该dscl用来创建隐藏用户。详情请看这篇文章!
小智 2
有趣的是,我在尝试整理大苏尔更新期间收到的报告中的一些奇怪行为时发现了这一点,然后几天后偶然发现了一个最近的、模糊规范的答案!
在 Big Sur 中,该sysadminctl命令的使用信息已更新为新的星号以及 -addUser 操作的一些新选项。我将引用相关部分(新选项以粗体显示),但这是我能找到的完整用法的唯一公开副本。
-addUser <用户名> [-fullName <全名>] [-UID <用户 ID>] [-GID <组 ID>] [-shell <shell 路径>] [-password <用户密码>] [-hint <用户提示>] [-home <主目录的完整路径>] [-admin] [-roleAccount] [-picture <用户图像的完整路径>](交互式) || -adminUser <管理员用户名> -adminPassword <管理员密码>)
*角色帐户需要名称以 _ 开头且 UID 在 200-400 范围内。
如果您尝试使用 -roleAccount 选项,它确实会让您使用带下划线的用户名和 200-400 范围内的 UID。
| 归档时间: |
|
| 查看次数: |
1808 次 |
| 最近记录: |