出于安全原因,某些第三方服务器应该在特殊用户下运行(例如,PostgreSQL 通常由“postgres”运行)。当然,这些服务用户不应出现在 Mac OS X 登录窗口中。我知道如何使用dsclor创建隐藏用户dsimport,但我想知道分配 UID(和匹配 GID)的最佳策略是什么。Apple 的文档指出,从 0 到 100 的 UID 是保留的(第 69 页),但 OS X 带有该范围之外的几个特殊用户和组。我曾经为服务使用 401 以后的 ID,但我注意到 OS X 10.6 已开始将该范围用于由系统偏好设置中的共享窗格创建的组。
那么,建议用于第三方服务的 ID 范围是多少?也许我应该只使用 500 范围内的 ID,因为在 Snow Leopard 中隐藏用户所需的只是将他的密码设置为“*”?
此外,大多数 Apple 服务的名称都以下划线开头,别名为 sans underscore;例如,_sandbox和sandbox。这有什么特别的意义吗?我应该为我的服务做同样的事情吗?
编辑:虽然我说的是“或dsimport”,但确实应该dscl用来创建隐藏用户。详情请看这篇文章!