详细介绍

umask 命令用于设置文件创建权限的掩码(mask)。当用户创建新文件或目录时,系统会根据 umask 值来确定默认的权限。umask 值会从文件的默认权限中减去,从而设置最终的文件权限。

命令参数解释

umask 命令的基本语法如下:

umask [选项] [掩码]
  • 1.
  • 选项
  • -S:以符号表示法显示当前的 umask 值。例如, umask -S 可能会输出 u=rwx,g=rx,o=rx
  • 掩码:指定新的 umask 值。可以是八进制数或符号表示法。例如,umask 022umask u=rwx,g=rx,o=rx
使用案例详细步骤和结果

以下是几个常见的 umask 命令使用案例及其步骤和结果:

  1. 查看当前的 umask
umask
  • 1.

这将显示当前的 umask 值。

结果

0022
  • 1.
  1. 以符号表示法查看当前的 umask
umask -S
  • 1.

这将以符号表示法显示当前的 umask 值。

结果

u=rwx,g=rx,o=rx
  • 1.
  1. 设置新的 umask 值为 027
umask 027
  • 1.

这将设置新的 umask 值为 027,即新创建的文件默认权限将为 750(目录)或 640(文件)。

结果

(没有输出,`umask` 值已更改)
  • 1.
  1. 验证新的 umask
umask
  • 1.

这将显示当前的 umask 值,以验证是否已更改。

结果

0027
  • 1.
  1. 创建一个新文件并查看其权限
touch newfile
ls -l newfile
  • 1.
  • 2.

这将创建一个名为 newfile 的新文件,并显示其权限。

结果

-rw-r----- 1 user group 0 Jul 11 01:07 newfile
  • 1.

由于 umask 值为 027,新文件的默认权限为 640

  1. 设置 umask 值为 0002 并创建一个新目录
umask 0002
mkdir newdir
ls -ld newdir
  • 1.
  • 2.
  • 3.

这将设置 umask 值为 0002,创建一个名为 newdir 的新目录,并显示其权限。

结果

drwxrwxr-x 2 user group 4096 Jul 11 01:07 newdir
  • 1.

由于 umask 值为 0002,新目录的默认权限为 775

三级等保案例中调整 umask 方案

方案概述

在三级等保测评中,对文件系统安全性的要求之一是设置合理的 umask 值,以限制普通用户创建新文件或目录的默认权限。该方案旨在为运维人员提供调整 umask 值的相关步骤和注意事项,帮助企业满足三级等保对文件系统安全性的要求。

方案实施

方法一:修改系统配置文件

  1. 编辑 /etc/profile/etc/bashrc 等系统配置文件。
  2. 添加或修改以下行: 
umask 002
  • 1.
  1. 保存并关闭配置文件。
  2. 重新登录系统或执行 source /etc/profilesource /etc/bashrc 使更改生效。

方法二:使用 umask 命令

  1. 使用 umask 命令直接设置 umask 值: 
umask 002
  • 1.
  1. 该更改仅对当前会话有效,需要在每次登录时重新执行该命令或将其添加到 shell 启动脚本中。
  2. 验证 umask 值

使用 umask 命令查看当前 umask 值,确保已正确设置:

umask
  • 1.

注意事项*

  • 调整 umask 值可能会影响现有文件或目录的权限。建议在调整 umask 值之前先备份重要文件。
  • 调整 umask 值后,需要告知所有用户,并对相关操作流程进行相应调整。
  • 定期检查 umask 值是否正确设置,并根据需要进行调整。

案例应用

假设某企业需要将 umask 值调整为 002 以满足三级等保测评要求。运维人员可以按照以下步骤进行操作:

  1. 确定 umask 值为 002。
  2. 修改 /etc/profile 文件,添加或修改以下行: 
umask 002
  • 1.
  1. 保存并关闭 /etc/profile 文件。
  2. 重新登录系统或执行 source /etc/profile 使更改生效。
  3. 使用 umask 命令验证 umask 值是否正确设置。

总结

调整 umask 值是提高文件系统安全性的有效措施之一。通过合理设置 umask 值,可以限制普通用户创建新文件或目录的权限,降低文件泄露的风险。