要为Linux新用户设置默认umask，最直接的方法是修改/etc/login.defs文件中的UMASK参数，或通过编辑/etc/profile、/etc/bash.bashrc等全局shell配置文件实现。修改/etc/login.defs适用于系统级默认设置，影响新用户创建时的初始权限；而修改shell配置文件可实现更灵活的全局或特定shell控制，但优先级更高，会覆盖前者设置。umask值决定新文件和目录的默认权限，如022产生644/755权限，保障安全性；002产生664/775权限，便于组内协作。设置后需创建测试用户并检查umask值及新建文件目录权限，确保配置生效。优先级顺序为：/etc/login.defs < /etc/profile < /etc/profile.d/*.sh < /etc/bash.bashrc < ~/.bash_profile < ~/.bashrc，高优先级配置会覆盖低优先级。

在Linux系统中，要为新用户设置默认的umask，最直接且系统级的方法是修改

/etc/login.defs

文件中的

UMASK

参数，或者通过编辑

/etc/profile

、

/etc/bash.bashrc

等shell初始化脚本来全局设定。这决定了新创建的文件和目录的默认权限，是系统安全配置的重要一环。

解决方案

要为Linux系统中的新用户设置默认的umask，通常有两种主要的策略，每种都有其适用场景和优先级。

方法一：修改

/etc/login.defs

(推荐用于系统级默认值)

这是设置新用户默认umask最常见且影响最广的方式。

/etc/login.defs

文件包含了创建用户时的一些默认参数，包括umask。

1. 打开文件进行编辑： 使用你喜欢的文本编辑器（比如

   vim

   或

   nano

   ）打开

   /etc/login.defs

   文件。你需要root权限。

   sudo vim /etc/login.defs

2. 查找并修改

   UMASK

   参数： 在文件中找到

   UMASK

   这一行。你可能会看到它被注释掉了，或者已经有了一个默认值（比如

   022

   或

   002

   ）。

   • UMASK 022

     ：这意味着新创建的文件权限是

     644

     (rw-r–r–)，新目录权限是

     755

     (rwxr-xr-x)。这是比较安全的默认值，用户自己可写，但组内和其他用户只有读权限。

   • UMASK 002

     ：这意味着新创建的文件权限是

     664

     (rw-rw-r–)，新目录权限是

     775

     (rwxrwxr-x)。这在团队协作环境中可能更方便，允许组内成员对文件有写入权限。

   根据你的需求，修改或取消注释这一行，并设置你想要的umask值。例如，如果你希望新用户默认的文件和目录权限更宽松，允许组内成员写入，可以设置为：

   UMASK        002

   如果你更倾向于严格的权限，只允许文件所有者写入：

   UMASK        022

3. 保存并退出： 保存对

   /etc/login.defs

   的修改。

方法二：修改 Shell 配置文件 (适用于特定 Shell 或更灵活的设置)

这种方法通过修改用户的shell初始化脚本来设置umask。它通常在用户登录时执行。

1. 修改

   /etc/profile

   (全局配置，影响所有用户，所有shell)

   /etc/profile

   是一个全局的配置文件，登录时会执行。你可以在这里添加一行来设置umask。

   sudo vim /etc/profile

   在文件末尾添加或修改：

   umask 002

   或者：

   umask 022

   保存并退出。

2. 修改

   /etc/bash.bashrc

   (仅影响使用 Bash 的用户) 如果你的系统主要使用Bash，并且你希望这个设置只对Bash用户生效，可以修改

   /etc/bash.bashrc

   。

   sudo vim /etc/bash.bashrc

   在文件末尾添加或修改：

   umask 002

   保存并退出。

优先级说明：

当一个新用户登录时，系统会按照一定的顺序读取这些配置：

• /etc/login.defs

  中的

  UMASK

  参数在用户创建时就生效，它会影响

  /etc/skel

  目录下的文件权限，这些文件在新用户主目录创建时会被复制过去。

• /etc/profile

  和

  /etc/bash.bashrc

  等全局 shell 配置文件会在用户登录后执行，它们会覆盖

  /etc/login.defs

  设置的默认umask。

• 用户主目录下的

  ~/.profile

  、

  ~/.bashrc

  等个人配置文件会进一步覆盖全局配置。

所以，如果你在

/etc/login.defs

设置了

UMASK 022

，但在

/etc/profile

中又设置了

UMASK 002

，那么最终生效的是

002

。最稳妥的做法是保持这些配置的一致性，或者明确知道它们的优先级。

为什么umask如此重要？理解文件权限与安全基石

我个人觉得，umask这东西，初看挺不起眼的，但它实实在在是系统安全的第一道防线。很多人在部署应用或者配置服务器的时候，往往把重心放在防火墙、加密、认证这些“大”安全措施上，却忽略了文件权限这种基础中的基础。但你想想看，如果一个敏感文件被创建出来，默认就是所有人可读写，那你的防火墙再严密，也挡不住本地的误操作或者被入侵后的权限滥用。

umask，全称是“user file creation mode mask”，顾名思义，它是一个掩码，用来“屏蔽”掉新创建文件或目录的一些权限位。它不是直接设定权限，而是从一个“最大可能权限”中减去（或者说是屏蔽掉）某些权限，从而得到最终的默认权限。

文件权限，我们都知道有读（r）、写（w）、执行（x）这三种，分别对应数字4、2、1。把它们组合起来，就有了我们常见的八进制权限表示，比如

644

(rw-r–r–) 或

755

(rwxr-xr-x)。这些权限是针对三个实体设定的：文件所有者（user）、文件所属组（group）和其他用户（others）。

umask的重要性就在于，它在文件或目录诞生的一瞬间，就给它们打上了权限的烙印。如果umask设置得过于宽松（比如

000

），那么新创建的文件默认就是

666

(rw-rw-rw-)，目录就是

777

(rwxrwxrwx)。这意味着任何用户都能读取、修改甚至删除这些文件，这在任何生产环境中都是灾难性的。反之，一个合理的umask（比如

022

或

002

），能够确保文件在创建之初就拥有一个相对安全的默认权限，避免了后续手动修改权限的麻烦，也降低了安全风险。它强制了一种“最小权限原则”的默认行为，这对于维护系统整体的安全性至关重要。

umask值究竟代表什么？0022和0002的区别在哪里？

这地方，我刚开始接触Linux的时候，也老是犯迷糊，umask这四个数字到底怎么算出来的？它跟我们平时看到的

644

、

755

这种文件权限表示法是反着来的。

umask的计算逻辑是这样的：

• 对于文件，最大默认权限是

  666

  (rw-rw-rw-)，因为它默认不应该有执行权限。

• 对于目录，最大默认权限是

  777

  (rwxrwxrwx)，因为目录的执行权限代表进入目录。

umask值就是从这些最大权限中“减去”的权限位。这里的“减去”更准确的理解是“屏蔽”或“不允许”。

我们来具体看看

0022

和

0002

：

1. umask

0022

ChatGPT Writer

免费 Chrome 扩展程序，使用 ChatGPT ai 生成电子邮件和消息。

42

查看详情

• umask值：

  0

  (所有者)

  2

  (组)

  2

  (其他)

• 计算方式：

  • 文件：

    666

    –

    022

    =

    644

    (rw-r–r–)

    • 所有者：

      6 - 0 = 6

      (读写)

    • 组：

      6 - 2 = 4

      (只读)

    • 其他：

      6 - 2 = 4

      (只读)

  • 目录：

    777

    –

    022

    =

    755

    (rwxr-xr-x)

    • 所有者：

      7 - 0 = 7

      (读写执行)

    • 组：

      7 - 2 = 5

      (读执行)

    • 其他：

      7 - 2 = 5

      (读执行)

• 含义： 当umask是

  0022

  时，新创建的文件，所有者可以读写，但同组用户和其他用户都只能读。新创建的目录，所有者可以读写执行，同组用户和其他用户可以读和进入（执行），但不能修改目录内容。

• 适用场景： 这是最常见的默认umask值，尤其在单用户环境或对安全性要求较高的服务器上。它确保了用户创建的文件默认是相对私密的，只有文件所有者有完整的控制权。

2. umask

0002

• umask值：

  0

  (所有者)

  0

  (组)

  2

  (其他)

• 计算方式：

  • 文件：

    666

    –

    002

    =

    664

    (rw-rw-r–)

    • 所有者：

      6 - 0 = 6

      (读写)

    • 组：

      6 - 0 = 6

      (读写)

    • 其他：

      6 - 2 = 4

      (只读)

  • 目录：

    777

    –

    002

    =

    775

    (rwxrwxr-x)

    • 所有者：

      7 - 0 = 7

      (读写执行)

    • 组：

      7 - 0 = 7

      (读写执行)

    • 其他：

      7 - 2 = 5

      (读执行)

• 含义： 当umask是

  0002

  时，新创建的文件，所有者和同组用户都可以读写，其他用户只能读。新创建的目录，所有者和同组用户都可以读写执行，其他用户可以读和进入。

• 适用场景： 这种umask值通常用于团队协作环境，比如一个开发团队共享一个项目目录。它允许同组的成员对新创建的文件和目录有写入权限，方便协作，减少权限管理的麻烦。当然，这就意味着你需要信任你的组内成员。

简单来说，

0022

更安全、更私有；

0002

更开放、更利于组内协作。选择哪个取决于你的具体需求和对安全性的权衡。

除了/etc/login.defs，还有哪些地方可以修改默认umask？优先级是怎样的？

你可能会发现，即便你在

/etc/login.defs

里设置了

UMASK 022

，但有些用户登录后，其默认umask却是

0002

。这很常见，因为Linux系统提供了多层配置机制，就像我们穿衣服，系统有统一的着装规定（

/etc/login.defs

），但你自己的衣柜（

~/.bashrc

）里的衣服，你肯定更优先穿。

除了

/etc/login.defs

，以下这些地方也能影响或修改默认umask，并且它们之间存在一个明确的优先级顺序：

1. /etc/profile

   ： 这是一个全局的shell初始化脚本，对所有用户都有效，并且通常在用户登录时执行。如果在这里设置了

   UMASK

   命令，它会覆盖

   /etc/login.defs

   的设置。

2. *

   /etc/bash.bashrc

   (或 `/etc/profile.d/.sh`)：**

   • /etc/bash.bashrc

     是针对所有Bash shell用户生效的配置文件，通常在非登录的交互式shell启动时执行。它也可以包含

     UMASK

     命令。

   • /etc/profile.d/

     目录下的脚本文件（通常以

     .sh

     结尾）也会在用户登录时被

     /etc/profile

     调用执行。很多发行版会把一些特定的配置放在这里，比如你可能会看到一个

     umask.sh

     或

     locale.sh

     。

3. 用户主目录下的配置文件 (

   ~/.profile

   ,

   ~/.bash_profile

   ,

   ~/.bashrc

   ,

   ~/.cshrc

   等)： 这是用户自己的配置文件，优先级最高。

   • ~/.profile

     ：当用户登录时，如果存在，会执行它。

   • ~/.bash_profile

     ：Bash shell 在登录时会优先查找这个文件，如果存在，则执行它，并通常会调用

     ~/.bashrc

     。

   • ~/.bashrc

     ：非登录的交互式Bash shell启动时执行。很多用户会在这里自定义他们的umask。

优先级顺序（从低到高，高优先级会覆盖低优先级）：

/etc/login.defs

(影响用户创建时的默认文件权限) ↓

/etc/profile

↓

/etc/profile.d/*.sh

↓

/etc/bash.bashrc

(仅对Bash用户，且通常在非登录shell中) ↓

~/.bash_profile

(或

~/.profile

) ↓

~/.bashrc

实际操作中的考量：

• 系统级默认： 如果你想为所有新用户设置一个统一的、严格的umask，首选

  /etc/login.defs

  。

• 全局但可覆盖： 如果你想设置一个全局的umask，但允许用户自行修改，可以在

  /etc/profile

  或

  /etc/bash.bashrc

  中设置。

• 用户自定义： 用户可以在自己的

  ~/.bashrc

  或

  ~/.profile

  中设置

  UMASK

  命令，来覆盖所有系统级的默认设置。

所以，当你发现umask不符合预期时，需要从这些文件中由高到低地排查，看看是哪个配置最终生效了。有时候，一个用户在自己的

~/.bashrc

里不小心设置了一个错误的umask，就会导致意想不到的权限问题。

如何验证新用户的umask是否设置成功？

验证嘛，这是个好习惯，我经常看到有人改了配置，信心满满，结果一测发现没生效，白忙活一场。验证umask是否设置成功，需要几个步骤，确保我们修改的配置确实应用到了新用户身上。

1. 创建新的测试用户： 这是最关键的一步。因为umask的设置通常影响的是新创建的用户。如果你只修改了配置，然后用现有用户登录，它可能不会立即生效（除非你修改的是用户自己的

   ~/.bashrc

   ）。

   sudo adduser testuser

   按照提示设置密码和其他信息。

2. 切换到新用户或以新用户身份登录： 你可以使用

   su - testuser

   命令切换到

   testuser

   用户，或者直接注销当前会话，然后以

   testuser

   身份登录。

   su - testuser

3. 检查当前用户的umask值： 在新用户的shell中，直接运行

   UMASK

   命令，它会显示当前生效的umask值。

   umask

   如果显示的是你期望的值（比如

   0022

   或

   0002

   ），那么第一步就成功了。

4. 创建文件和目录并检查其权限： 这是验证umask是否真正按预期工作的最直观方法。umask的目的是影响新创建的文件和目录的默认权限。

   # 创建一个文件 touch testfile.txt  # 创建一个目录 mkdir testdir

   然后，检查它们的权限：

   ls -l testfile.txt ls -ld testdir

   期望结果示例：

   • 如果你设置的umask是

     0022

     ：

     • ls -l testfile.txt

       应该显示类似

       -rw-r--r--

       (权限

       644

       )

     • ls -ld testdir

       应该显示类似

       drwxr-xr-x

       (权限

       755

       )

   • 如果你设置的umask是

     0002

     ：

     • ls -l testfile.txt

       应该显示类似

       -rw-rw-r--

       (权限

       664

       )

     • ls -ld testdir

       应该显示类似

       drwxrwxr-x

       (权限

       775

       )

   如果这些权限与你通过umask计算出的预期值一致，那么恭喜你，你的umask设置成功了！如果不一致，就需要回到前面提到的优先级部分，仔细排查是哪个配置文件最终覆盖了你的设置。记得，验证是调试过程中不可或缺的一环。