He notado que después de desinstalar postgresql paquete en ArchLinux el postgres el usuario y el grupo no se eliminan automáticamente. Lo mismo es cierto para algunos otros paquetes. Investigando esto más a fondo, me encontré con esta página, que dice:
Los paquetes listados aquí usan userdel /groupdel para eliminar el usuario que ellos
crearon. Estos nunca deben eliminarse automáticamente, ya que representa un riesgo de seguridad
si se deja algún archivo con esta propiedad.
Me pregunto por qué dejar archivos con esta propiedad representa un riesgo de seguridad.
Respuesta aceptada:
Este es un riesgo de seguridad porque la propiedad del archivo en el FS no se almacena por nombre simbólico, sino por UID y GID. Si se elimina un usuario y los archivos siguen siendo propiedad de ese usuario, se vuelven inaccesibles con el permiso del propietario. Sin embargo, si posteriormente se crea un usuario diferente al que se le asigna el mismo UID, ese usuario obtendrá la propiedad de los archivos. Esto es potencialmente un riesgo de seguridad debido a las diversas formas en que se utiliza la propiedad de archivos como mecanismo de seguridad; la forma más simple es aquella donde la información confidencial (por ejemplo, claves SSH en id_rsa y así sucesivamente, información de autenticación wi-fi en wpa_supplicant.conf ) podría filtrarse al nuevo usuario.