Параметр 027 umask означает, что группе-владельцу также будет разрешено читать вновь созданные файлы. Это перемещает модель предоставления разрешений немного дальше от работы с битами разрешений и основывает ее на владении группой.

Это создаст каталоги с разрешением 750.

Пожалуйста, проверьте эту замечательную статью 027 umask - компромисс между безопасностью и простотой .

Маска режима

Цитировать ArchWiki :

Утилита umask используется для управления маской режима создания файла, которая определяет начальное значение битов прав доступа для вновь созданных файлов.

биты режима

Три восьмеричных числа соответствуют разрешениям для пользователя, группы и других. Изменяя третье число с 2 на 7, изменяется разрешение прочее .

Чтобы понять эти числа, запишите их в двоичной форме, и каждый бит соответствует одному из чтения , записи и выполнения . Короче говоря, 2 соответствует , напиши ; 7 соответствует чтения , записи и выполнения . Каталоги различаются: read означает получение списка элементов (файлов и каталогов) внутри каталога, а execute означает доступ к этим элементам при условии, что их имена известны.

Как это маскирует

Точнее, маски режима решают, какие разрешения маскируются или удаляются из вновь созданных файлов по умолчанию. Таким образом, значение маски 2 означает, что файлы не будут доступны для записи; 7 означает удалить все разрешения. Обратите внимание, что даже если некоторые разрешения не удаляются маской режима, они могут быть недоступны из-за других ограничений. Например, Linux не позволяет создавать файлы с разрешениями на выполнение, поэтому они никогда не будут исполняемыми по умолчанию.

Разумное значение

Итак, чтобы ответить на первый вопрос: 022 означает, что разрешение на запись маскируется для другого , поэтому по умолчанию файлы могут быть прочитаны, но не записаны. или изменены другими. Хотя разрешение на выполнение не маскируется, другие не смогут выполнять файлы из-за ограничений, упомянутых выше; однако они могут иметь доступ к элементам с каталогами. Измените его на 027, и , прочитав и , выполните , также замаскированы. Таким образом, вновь созданные файлы и каталоги остаются закрытыми для других; элементы во вновь созданных каталогах всегда будут недоступны для других.

Во многих случаях есть только один человек человек. Однако обычно для запуска служб используется несколько пользователей системы, например nobody. В некоторых редких случаях, например, когда программа, запущенная как никто, не подвергается риску, ограничительные разрешения могут помешать ей читать конфиденциальные данные.

Однако в многопользовательской среде совместное использование файла становится более сложным: в дополнение к установке разрешений для файла, по крайней мере, разрешение execute должно быть установлено во всех родительских каталогах.

Установка значения

Что касается второго вопроса, маску режима необходимо установить только один раз. Если он установлен несколько раз, последний имеет значение. В большинстве дистрибутивов маска режима по умолчанию установлена ​​в /etc/profile, поэтому я бы предложил отредактировать этот файл.