umask用于控制Linux中新建文件和目录的默认权限,通过掩码从默认666(文件)或777(目录)中屏蔽权限位;可临时设置、用户级永久配置、系统级PAM配置或通过/etc/login.defs为新用户设定。
如果您在Linux系统中创建新文件或目录时,发现其默认权限不符合安全要求,则可能是由于umask值未正确配置。以下是设置文件或目录默认权限的具体操作步骤:
一、理解umask的作用机制
umask是一个掩码值,用于从默认权限中“屏蔽”指定的权限位。新建文件默认权限为666(即rw-rw-rw-),新建目录默认权限为777(即rwxrwxrwx),umask会按位取反后与之进行与运算,从而得出实际创建的权限。例如umask为0022时,文件实际权限为644,目录为755。
1、打开终端,输入umask命令查看当前会话的umask值。
2、执行umask -S以符号形式显示当前umask对应的权限屏蔽规则。
3、记录当前输出结果,作为后续修改前的基准参考。
二、临时修改umask值(当前会话生效)
该方法仅对当前shell会话有效,关闭终端后失效,适用于测试或一次性调整场景。
1、在终端中输入umask 0027,将umask设为0027,使新建文件权限为640、目录为750。
2、使用touch testfile和mkdir testdir分别创建测试文件和目录。
3、运行ls -l testfile testdir验证权限是否符合预期:文件应显示为-rw-r-----,目录应显示为drwxr-x---。
三、永久修改用户级umask(影响指定用户)
通过修改用户shell配置文件,使umask设置在每次登录时自动加载,适用于需要长期保持特定权限策略的用户。
1、编辑当前用户的shell配置文件,如~/.bashrc或~/.profile,使用命令nano ~/.bashrc。
2、在文件末尾添加一行:umask 0077,确保新建文件和目录仅属主可读写执行。
3、保存并退出编辑器,执行source ~/.bashrc使更改立即生效。
4、新开一个终端窗口,运行umask确认输出为0077,此时新建文件权限应为600,目录为700。
四、系统级umask配置(影响所有用户)
该方式通过修改PAM模块配置,使umask对所有通过login或su等方式登录的用户统一生效,常用于强化多用户环境的安全基线。
1、使用root权限编辑/etc/pam.d/common-session文件,命令为sudo nano /etc/pam.d/common-session。
2、在文件末尾新增一行:session optional pam_umask.so umask=0027。
3、保存文件后,重启系统或重新登录任意用户账户。
4、登录后执行umask命令,确认返回值为0027,验证新建文件权限为640、目录为750。
五、通过/etc/login.defs设置默认umask(适用于useradd)
该方法控制由useradd命令创建的新用户默认继承的umask值,影响新用户首次登录时的初始设置。
1、以root身份打开/etc/login.defs文件:sudo nano /etc/login.defs。
2、查找包含UMASK的行,若存在则修改其值为077;若不存在,则在文件适当位置添加UMASK 077。
3、保存退出后,使用useradd -m newuser创建新用户。
4、切换至newuser并执行umask,确认输出为0077,表明该用户新建文件默认权限为600、目录为700。
