為什麼 ArchLinux 在軟體包解除安裝後會保留一些使用者/組？

我注意到postgresql在 ArchLinux 中解除安裝軟體包後，postgres使用者和組不會自動刪除。其他一些軟體包也是如此。進一步調查，我遇到了這個頁面，其中指出：

此處列出的包使用userdel/groupdel來刪除他們創建的使用者。這些永遠不應被自動刪除，因為如果任何文件被留下具有此所有權，它會帶來安全風險。

我想知道為什麼以這種所有權保留文件會帶來安全風險？

這是一個安全風險，因為 FS 中的文件所有權不是按符號名稱儲存的，而是按 UID 和 GID 儲存的。如果刪除使用者並且文件仍歸該使用者所有，則在所有者權限下將無法訪問它們。但是，如果稍後創建分配了相同 UID 的不同使用者，則該使用者將獲得文件的所有權。由於文件所有權被用作安全機制的各種方式，這可能是一個安全風險；最簡單的形式是機密資訊（例如 SSH 密鑰id_rsa等，wi-fi 身份驗證資訊wpa_supplicant.conf）可能會洩露給新使用者。

引用自：https://unix.stackexchange.com/questions/246488