Linux如何设置新用户默认的umask-linux运维-PHP中文网

要为Linux新用户设置默认umask，最直接的方法是修改/etc/login.defs文件中的UMASK参数，或通过编辑/etc/profile、/etc/bash.bashrc等全局shell配置文件实现。修改/etc/login.defs适用于系统级默认设置，影响新用户创建时的初始权限；而修改shell配置文件可实现更灵活的全局或特定shell控制，但优先级更高，会覆盖前者设置。umask值决定新文件和目录的默认权限，如022产生644/755权限，保障安全性；002产生664/775权限，便于组内协作。设置后需创建测试用户并检查umask值及新建文件目录权限，确保配置生效。优先级顺序为：/etc/login.defs < /etc/profile < /etc/profile.d/*.sh < /etc/bash.bashrc < ~/.bash_profile < ~/.bashrc，高优先级配置会覆盖低优先级。

linux如何设置新用户默认的umask

在Linux系统中，要为新用户设置默认的umask，最直接且系统级的方法是修改

/etc/login.defs

登录后复制

文件中的

UMASK

登录后复制

参数，或者通过编辑

/etc/profile

登录后复制

、

/etc/bash.bashrc

登录后复制

等shell初始化脚本来全局设定。这决定了新创建的文件和目录的默认权限，是系统安全配置的重要一环。

解决方案

要为Linux系统中的新用户设置默认的umask，通常有两种主要的策略，每种都有其适用场景和优先级。

方法一：修改

/etc/login.defs

登录后复制

(推荐用于系统级默认值)

这是设置新用户默认umask最常见且影响最广的方式。

/etc/login.defs

登录后复制

文件包含了创建用户时的一些默认参数，包括umask。

打开文件进行编辑： 使用你喜欢的文本编辑器（比如
```
vim
```
登录后复制
或
```
nano
```
登录后复制
）打开
```
/etc/login.defs
```
登录后复制
文件。你需要root权限。
```
sudo vim /etc/login.defs
```
登录后复制
查找并修改
```
UMASK
```
登录后复制
参数： 在文件中找到
```
UMASK
```
登录后复制
这一行。你可能会看到它被注释掉了，或者已经有了一个默认值（比如
```
022
```
登录后复制
或
```
002
```
登录后复制
）。
- ```
UMASK 022
```
  登录后复制
  ：这意味着新创建的文件权限是
```
644
```
  登录后复制
  (rw-r--r--)，新目录权限是
```
755
```
  登录后复制
  (rwxr-xr-x)。这是比较安全的默认值，用户自己可写，但组内和其他用户只有读权限。
- ```
UMASK 002
```
  登录后复制
  ：这意味着新创建的文件权限是
```
664
```
  登录后复制
  (rw-rw-r--)，新目录权限是
```
775
```
  登录后复制
  (rwxrwxr-x)。这在团队协作环境中可能更方便，允许组内成员对文件有写入权限。
根据你的需求，修改或取消注释这一行，并设置你想要的umask值。例如，如果你希望新用户默认的文件和目录权限更宽松，允许组内成员写入，可以设置为：
```
UMASK        002
```
登录后复制
如果你更倾向于严格的权限，只允许文件所有者写入：
```
UMASK        022
```
登录后复制
保存并退出： 保存对
```
/etc/login.defs
```
登录后复制
的修改。

方法二：修改 Shell 配置文件 (适用于特定 Shell 或更灵活的设置)

这种方法通过修改用户的shell初始化脚本来设置umask。它通常在用户登录时执行。

修改
```
/etc/profile
```
登录后复制
(全局配置，影响所有用户，所有shell)
```
/etc/profile
```
登录后复制
是一个全局的配置文件，登录时会执行。你可以在这里添加一行来设置umask。
```
sudo vim /etc/profile
```
登录后复制
在文件末尾添加或修改：
```
umask 002
```
登录后复制
或者：
```
umask 022
```
登录后复制
保存并退出。
修改
```
/etc/bash.bashrc
```
登录后复制
(仅影响使用 Bash 的用户) 如果你的系统主要使用Bash，并且你希望这个设置只对Bash用户生效，可以修改
```
/etc/bash.bashrc
```
登录后复制
。
```
sudo vim /etc/bash.bashrc
```
登录后复制
在文件末尾添加或修改：
```
umask 002
```
登录后复制
保存并退出。

优先级说明：

当一个新用户登录时，系统会按照一定的顺序读取这些配置：

```
/etc/login.defs
```
登录后复制
中的
```
UMASK
```
登录后复制
参数在用户创建时就生效，它会影响
```
/etc/skel
```
登录后复制
目录下的文件权限，这些文件在新用户主目录创建时会被复制过去。
```
/etc/profile
```
登录后复制
和
```
/etc/bash.bashrc
```
登录后复制
等全局 shell 配置文件会在用户登录后执行，它们会覆盖
```
/etc/login.defs
```
登录后复制
设置的默认umask。
用户主目录下的
```
~/.profile
```
登录后复制
、
```
~/.bashrc
```
登录后复制
等个人配置文件会进一步覆盖全局配置。

所以，如果你在

/etc/login.defs

登录后复制

设置了

UMASK 022

登录后复制

，但在

/etc/profile

登录后复制

中又设置了

UMASK 002

登录后复制

，那么最终生效的是

登录后复制

。最稳妥的做法是保持这些配置的一致性，或者明确知道它们的优先级。

为什么umask如此重要？理解文件权限与安全基石

我个人觉得，umask这东西，初看挺不起眼的，但它实实在在是系统安全的第一道防线。很多人在部署应用或者配置服务器的时候，往往把重心放在防火墙、加密、认证这些“大”安全措施上，却忽略了文件权限这种基础中的基础。但你想想看，如果一个敏感文件被创建出来，默认就是所有人可读写，那你的防火墙再严密，也挡不住本地的误操作或者被入侵后的权限滥用。

umask，全称是“user file creation mode mask”，顾名思义，它是一个掩码，用来“屏蔽”掉新创建文件或目录的一些权限位。它不是直接设定权限，而是从一个“最大可能权限”中减去（或者说是屏蔽掉）某些权限，从而得到最终的默认权限。

文件权限，我们都知道有读（r）、写（w）、执行（x）这三种，分别对应数字4、2、1。把它们组合起来，就有了我们常见的八进制权限表示，比如

登录后复制

(rw-r--r--) 或

登录后复制

(rwxr-xr-x)。这些权限是针对三个实体设定的：文件所有者（user）、文件所属组（group）和其他用户（others）。

umask的重要性就在于，它在文件或目录诞生的一瞬间，就给它们打上了权限的烙印。如果umask设置得过于宽松（比如

登录后复制

），那么新创建的文件默认就是

登录后复制

(rw-rw-rw-)，目录就是

登录后复制

(rwxrwxrwx)。这意味着任何用户都能读取、修改甚至删除这些文件，这在任何生产环境中都是灾难性的。反之，一个合理的umask（比如

登录后复制

或

登录后复制

），能够确保文件在创建之初就拥有一个相对安全的默认权限，避免了后续手动修改权限的麻烦，也降低了安全风险。它强制了一种“最小权限原则”的默认行为，这对于维护系统整体的安全性至关重要。

umask值究竟代表什么？0022和0002的区别在哪里？

这地方，我刚开始接触Linux的时候，也老是犯迷糊，umask这四个数字到底怎么算出来的？它跟我们平时看到的

登录后复制

、

登录后复制

这种文件权限表示法是反着来的。

umask的计算逻辑是这样的：

对于文件，最大默认权限是
```
666
```
登录后复制
(rw-rw-rw-)，因为它默认不应该有执行权限。
对于目录，最大默认权限是
```
777
```
登录后复制
(rwxrwxrwx)，因为目录的执行权限代表进入目录。

umask值就是从这些最大权限中“减去”的权限位。这里的“减去”更准确的理解是“屏蔽”或“不允许”。

我们来具体看看

登录后复制

和

登录后复制

：

1. umask

登录后复制

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

umask值：
```
0
```
登录后复制
(所有者)
```
2
```
登录后复制
(组)
```
2
```
登录后复制
(其他)
计算方式：
- 文件：
```
666
```
  登录后复制
  -
```
022
```
  登录后复制
  =
```
644
```
  登录后复制
  (rw-r--r--)
  - 所有者：
```
6 - 0 = 6
```
    登录后复制
    (读写)
  - 组：
```
6 - 2 = 4
```
    登录后复制
    (只读)
  - 其他：
```
6 - 2 = 4
```
    登录后复制
    (只读)
- 目录：
```
777
```
  登录后复制
  -
```
022
```
  登录后复制
  =
```
755
```
  登录后复制
  (rwxr-xr-x)
  - 所有者：
```
7 - 0 = 7
```
    登录后复制
    (读写执行)
  - 组：
```
7 - 2 = 5
```
    登录后复制
    (读执行)
  - 其他：
```
7 - 2 = 5
```
    登录后复制
    (读执行)
含义： 当umask是
```
0022
```
登录后复制
时，新创建的文件，所有者可以读写，但同组用户和其他用户都只能读。新创建的目录，所有者可以读写执行，同组用户和其他用户可以读和进入（执行），但不能修改目录内容。
适用场景： 这是最常见的默认umask值，尤其在单用户环境或对安全性要求较高的服务器上。它确保了用户创建的文件默认是相对私密的，只有文件所有者有完整的控制权。

2. umask

登录后复制

umask值：
```
0
```
登录后复制
(所有者)
```
0
```
登录后复制
(组)
```
2
```
登录后复制
(其他)
计算方式：
- 文件：
```
666
```
  登录后复制
  -
```
002
```
  登录后复制
  =
```
664
```
  登录后复制
  (rw-rw-r--)
  - 所有者：
```
6 - 0 = 6
```
    登录后复制
    (读写)
  - 组：
```
6 - 0 = 6
```
    登录后复制
    (读写)
  - 其他：
```
6 - 2 = 4
```
    登录后复制
    (只读)
- 目录：
```
777
```
  登录后复制
  -
```
002
```
  登录后复制
  =
```
775
```
  登录后复制
  (rwxrwxr-x)
  - 所有者：
```
7 - 0 = 7
```
    登录后复制
    (读写执行)
  - 组：
```
7 - 0 = 7
```
    登录后复制
    (读写执行)
  - 其他：
```
7 - 2 = 5
```
    登录后复制
    (读执行)
含义： 当umask是
```
0002
```
登录后复制
时，新创建的文件，所有者和同组用户都可以读写，其他用户只能读。新创建的目录，所有者和同组用户都可以读写执行，其他用户可以读和进入。
适用场景： 这种umask值通常用于团队协作环境，比如一个开发团队共享一个项目目录。它允许同组的成员对新创建的文件和目录有写入权限，方便协作，减少权限管理的麻烦。当然，这就意味着你需要信任你的组内成员。

简单来说，

登录后复制

更安全、更私有；

登录后复制

更开放、更利于组内协作。选择哪个取决于你的具体需求和对安全性的权衡。

除了/etc/login.defs，还有哪些地方可以修改默认umask？优先级是怎样的？

你可能会发现，即便你在

/etc/login.defs

登录后复制

里设置了

UMASK 022

登录后复制

，但有些用户登录后，其默认umask却是

登录后复制

。这很常见，因为Linux系统提供了多层配置机制，就像我们穿衣服，系统有统一的着装规定（

/etc/login.defs

登录后复制

），但你自己的衣柜（

~/.bashrc

登录后复制

）里的衣服，你肯定更优先穿。

除了

/etc/login.defs

登录后复制

，以下这些地方也能影响或修改默认umask，并且它们之间存在一个明确的优先级顺序：

```
/etc/profile
```
登录后复制
：这是一个全局的shell初始化脚本，对所有用户都有效，并且通常在用户登录时执行。如果在这里设置了
```
UMASK
```
登录后复制
命令，它会覆盖
```
/etc/login.defs
```
登录后复制
的设置。
*
```
/etc/bash.bashrc
```
登录后复制
(或 `/etc/profile.d/.sh`)：**
- ```
/etc/bash.bashrc
```
  登录后复制
  是针对所有Bash shell用户生效的配置文件，通常在非登录的交互式shell启动时执行。它也可以包含
```
UMASK
```
  登录后复制
  命令。
- ```
/etc/profile.d/
```
  登录后复制
  目录下的脚本文件（通常以
```
.sh
```
  登录后复制
  结尾）也会在用户登录时被
```
/etc/profile
```
  登录后复制
  调用执行。很多发行版会把一些特定的配置放在这里，比如你可能会看到一个
```
umask.sh
```
  登录后复制
  或
```
locale.sh
```
  登录后复制
  。
用户主目录下的配置文件 (
```
~/.profile
```
登录后复制
,
~/.bash_profile
登录后复制
,
~/.bashrc
登录后复制
,
~/.cshrc
登录后复制
等)：这是用户自己的配置文件，优先级最高。
- ```
~/.profile
```
  登录后复制
  ：当用户登录时，如果存在，会执行它。
- ```
~/.bash_profile
```
  登录后复制
  ：Bash shell 在登录时会优先查找这个文件，如果存在，则执行它，并通常会调用
```
~/.bashrc
```
  登录后复制
  。
- ```
~/.bashrc
```
  登录后复制
  ：非登录的交互式Bash shell启动时执行。很多用户会在这里自定义他们的umask。

优先级顺序（从低到高，高优先级会覆盖低优先级）：

/etc/login.defs

登录后复制

(影响用户创建时的默认文件权限) ↓

/etc/profile

登录后复制

↓

/etc/profile.d/*.sh

登录后复制

↓

/etc/bash.bashrc

登录后复制

(仅对Bash用户，且通常在非登录shell中) ↓

~/.bash_profile

登录后复制

(或

~/.profile

登录后复制

) ↓

~/.bashrc

登录后复制

实际操作中的考量：

系统级默认： 如果你想为所有新用户设置一个统一的、严格的umask，首选
```
/etc/login.defs
```
登录后复制
。
全局但可覆盖： 如果你想设置一个全局的umask，但允许用户自行修改，可以在
```
/etc/profile
```
登录后复制
或
```
/etc/bash.bashrc
```
登录后复制
中设置。
用户自定义： 用户可以在自己的
```
~/.bashrc
```
登录后复制
或
```
~/.profile
```
登录后复制
中设置
```
UMASK
```
登录后复制
命令，来覆盖所有系统级的默认设置。

所以，当你发现umask不符合预期时，需要从这些文件中由高到低地排查，看看是哪个配置最终生效了。有时候，一个用户在自己的

~/.bashrc

登录后复制

里不小心设置了一个错误的umask，就会导致意想不到的权限问题。

如何验证新用户的umask是否设置成功？

验证嘛，这是个好习惯，我经常看到有人改了配置，信心满满，结果一测发现没生效，白忙活一场。验证umask是否设置成功，需要几个步骤，确保我们修改的配置确实应用到了新用户身上。

创建新的测试用户： 这是最关键的一步。因为umask的设置通常影响的是新创建的用户。如果你只修改了配置，然后用现有用户登录，它可能不会立即生效（除非你修改的是用户自己的
```
~/.bashrc
```
登录后复制
）。
```
sudo adduser testuser
```
登录后复制
按照提示设置密码和其他信息。
切换到新用户或以新用户身份登录： 你可以使用
```
su - testuser
```
登录后复制
命令切换到
```
testuser
```
登录后复制
用户，或者直接注销当前会话，然后以
```
testuser
```
登录后复制
身份登录。
```
su - testuser
```
登录后复制
检查当前用户的umask值： 在新用户的shell中，直接运行
```
UMASK
```
登录后复制
命令，它会显示当前生效的umask值。
```
umask
```
登录后复制
如果显示的是你期望的值（比如
```
0022
```
登录后复制
或
```
0002
```
登录后复制
），那么第一步就成功了。
创建文件和目录并检查其权限： 这是验证umask是否真正按预期工作的最直观方法。umask的目的是影响新创建的文件和目录的默认权限。
```
# 创建一个文件
touch testfile.txt

# 创建一个目录
mkdir testdir
```
登录后复制
然后，检查它们的权限：
```
ls -l testfile.txt
ls -ld testdir
```
登录后复制
期望结果示例：
- 如果你设置的umask是
```
0022
```
  登录后复制
  ：
  - ```
  ls -l testfile.txt
```
  登录后复制
  应该显示类似
```
  -rw-r--r--
```
  登录后复制
  (权限
```
  644
```
  登录后复制
  )
- ```
ls -ld testdir
```
    登录后复制
    应该显示类似
```
drwxr-xr-x
```
    登录后复制
    (权限
```
755
```
    登录后复制
    )
- 如果你设置的umask是
```
0002
```
  登录后复制
  ：
  - ```
  ls -l testfile.txt
```
  登录后复制
  应该显示类似
```
  -rw-rw-r--
```
  登录后复制
  (权限
```
  664
```
  登录后复制
  )
- ```
ls -ld testdir
```
    登录后复制
    应该显示类似
```
drwxrwxr-x
```
    登录后复制
    (权限
```
775
```
    登录后复制
    )
如果这些权限与你通过umask计算出的预期值一致，那么恭喜你，你的umask设置成功了！如果不一致，就需要回到前面提到的优先级部分，仔细排查是哪个配置文件最终覆盖了你的设置。记得，验证是调试过程中不可或缺的一环。