umask值决定Linux中新建文件和目录的默认权限,通过调整umask可控制权限分配。系统基础权限为文件666、目录777,umask从其减去对应权限位,如umask 022时文件为644、目录为755。临时修改可用umask命令设置当前会话,永久修改需在~/.bashrc添加umask指令并执行source生效。系统级配置需编辑/etc/login.defs中UMASK值,并确保USERGROUPS_ENAB为yes,同时检查/etc/pam.d/common-session包含pam_umask.so模块。特定服务可通过启动脚本单独设置umask,重启服务后验证权限是否符合预期。
如果您在Linux系统中创建新文件或目录时发现权限不符合预期,可能是umask值未正确配置。umask决定了新创建的文件和目录的默认权限。以下是调整和设置umask值的方法:
本文运行环境:Dell XPS 13,Ubuntu 22.04
一、理解umask的作用机制
umask通过屏蔽特定权限位来控制新建文件和目录的默认权限。系统对文件和目录的基础权限分别为666(rw-rw-rw-)和777(rwxrwxrwx),umask值会从这些基础权限中减去对应权限位。
例如,umask值为022时,文件权限为644(rw-r--r--),目录权限为755(rwxr-xr-x)。数值型umask使用四位八进制数表示,第一位代表特殊权限位,后三位分别代表用户、组和其他的权限掩码。
二、临时修改当前会话的umask
可以在终端中直接执行umask命令来临时更改当前shell会话的默认权限设置,该设置仅在当前会话有效,退出后失效。
1、打开终端,输入 umask 查看当前umask值。
2、输入 umask 027 将umask设置为027,此时新创建的文件权限为640,目录权限为750。
3、使用 touch testfile 和 mkdir testdir 创建测试文件和目录,通过 ls -l 验证权限是否符合预期。
三、永久修改用户级别的umask
通过修改用户主目录下的shell配置文件,可以实现每次登录时自动应用指定的umask值。
1、使用文本编辑器打开 ~/.bashrc 文件:nano ~/.bashrc。
2、在文件末尾添加一行 umask 027。
3、保存并关闭文件,执行 source ~/.bashrc 使更改立即生效。
4、重新登录或新建shell会话后,umask将保持为设定值。
四、系统级全局umask配置
系统管理员可通过修改PAM模块配置文件来统一设置所有用户的默认umask值,适用于需要统一安全策略的场景。
1、编辑 /etc/login.defs 文件,找到 UMASK 行,将其设置为所需值,如 UMASK 027。
2、确保该文件中的 USERGROUPS_ENAB 参数设置为 yes,以保证私有用户组机制正常工作。
3、对于使用PAM的系统,还需检查 /etc/pam.d/common-session 是否包含 pam_umask.so 模块调用。
4、添加或确认存在如下行:session optional pam_umask.so umask=027。
五、针对特定服务设置umask
某些守护进程或服务可能需要独立的umask设置,可通过服务启动脚本单独配置。
1、查找服务的启动脚本位置,通常位于 /etc/init.d/ 或 /lib/systemd/system/ 目录下。
2、在脚本的环境变量区域添加 umask 指令,例如 umask 007。
3、重启对应服务使配置生效。
4、验证服务创建的文件权限是否符合新的umask规则。
