Mengapa ArchLinux mempertahankan beberapa pengguna / grup setelah penghapusan paket?

Saya perhatikan bahwa setelah menghapus postgresqlpaket di ArchLinux, postgrespengguna dan grup tidak dihapus secara otomatis. Hal yang sama berlaku untuk beberapa paket lainnya. Menyelidiki ini lebih lanjut, saya telah menemukan halaman ini , yang menyatakan:

Paket-paket yang tercantum di sini menggunakan userdel/ groupdeluntuk menghapus pengguna yang mereka buat. Ini tidak boleh dihapus secara otomatis karena menimbulkan risiko keamanan jika ada file yang tertinggal dengan kepemilikan ini.

Saya heran mengapa meninggalkan file dengan kepemilikan ini menimbulkan risiko keamanan?

Ini adalah risiko keamanan karena kepemilikan file di FS disimpan bukan dengan nama simbolis, tetapi oleh UID dan GID. Jika pengguna dihapus dan file tetap dimiliki oleh pengguna itu, mereka menjadi tidak dapat diakses di bawah izin pemilik. Namun, jika pengguna yang berbeda kemudian dibuat yang dialokasikan UID yang sama, pengguna tersebut akan mendapatkan kepemilikan file. Ini berpotensi risiko keamanan karena berbagai cara kepemilikan file digunakan sebagai mekanisme keamanan; bentuk paling sederhana adalah di mana informasi rahasia (mis. kunci SSH id_rsadan sebagainya, informasi otentikasi wi-fi wpa_supplicant.conf) dapat bocor ke pengguna baru.