上面的命令表示从 group 中去掉写权限,从 other 中去掉读写执行的权限。
注意:"=" 号在 umask 命令和 chmod 命令中的作用恰恰相反。在 chmod 命令中,利用它来设置指定的权限,而其余权限则被删除。但是在 umask 命令中,将在原有权限的基础上删除指定的权限。
在 ~/.bashrc 文件中为用户设置默认的 umask
如果让用户每次登陆后都执行 umask 命令修改默认的 umask 值是不科学的,我们可以在用户的 ~/.bashrc 文件中执行 umask 命令,这样用户登录后 umask 的值自动就变成了设置的值。把下面的命令添加到 ~/.bashrc 文件的最后一行:
umask 026
保存后重新登录一次,然后查看 umask 的值:
文件和目录的创建
下面通过 strace 来跟踪文件和目录创建的过程,看看 mask 是如何影响它们的创建操作的。
创建一个文件
$ umask 077; strace -eopen touch testfile 2>&1 | tail -2; ls -l testfile
上图中 open 函数使用 666 权限创建文件,但是由于设置了 umask 为 077,所以内核在创建文件时移除了 group 和 other 的 rwx 权限,最终创建的文件权限为 600。
创建一个目录
$ umask 022; strace -emkdir mkdir testdir; ls -ld testdir
上图中 mkdir 函数使用 777 权限创建目录,但是由于设置了 umask 为 022,内核最终创建的目录权限为 755。
umask 与 ACL如果一个目录没有被设置 default ACL,那么将由 umask 决定新文件的 ACL 权限。这种情况其实就是我们常见的没有 ACL 权限时的情况。比如我们设置 umask 为 026,那么创建的文件和目录的权限就是由它决定的。
如果一个目录被设置了 default ACL,那么将会由文件创建函数的 mode 参数和目录的 default ACL 共通决定新文件的 ACL 权限,此时 umask 被忽略。还以 umask 026 为例,我们创建一个目录 dir2 并设置 default ACL 权限:
$ setfacl -m d:u:tester:rwx dir2
然后在 dir2 目录中创建文件 testfile:
这次 testfile 的权限已经不受 umask 的影响了!
总结umask 是一个看似简单实则影响重大的命令,根据实际需求设置好 umask 不仅能够保护系统的安全,还会让操作变得轻松(少一些 Permission denied)。