「새로 만든 파일의 기본 권한」을 결정하는 게 umask.
「제거할 권한 비트」를 표현 — 약간 거꾸로의 발상이라 처음엔 헷갈림.
동작.
기본 권한 — 파일 666(rw-rw-rw-), 디렉토리 777(rwxrwxrwx).
umask가 022면 「2(쓰기)를 그룹·기타에서 제거」 → 파일 644, 디렉토리 755.
확인·변경.
umask — 현재 값(보통 022).
umask 027 — 그룹은 읽기·실행만, 기타는 아무것도(070 제거).
더 보안 강화.
umask 077 — 「본인만 모든 권한, 그 외 0」 (가장 엄격).
흔한 값.
022 — 일반(파일 644, 디렉토리 755) — 다른 사람도 읽을 수 있음.
027 — 그룹은 읽기, 기타는 차단(파일 640).
077 — 본인만(파일 600, 디렉토리 700).
보안 정책에 따라.
영구 설정.
~/.bashrc 또는 ~/.profile에 umask 077 추가 — 본인 셸 영구.
시스템 전역은 /etc/profile, /etc/login.defs(UMASK 라인).
시스템 보안 정책의 일부.
한 줄 요약
umask는 새 파일의 기본 권한 결정 — 「제거할 비트」 표기.
022가 일반(파일 644·디렉토리 755), 077이 본인만 엄격.
.bashrc·.profile에 영구, /etc/login.defs로 시스템 전역.
더 알아볼 것
- umask 명령 vs 시스템 호출
- setfacl 기본 ACL
- systemd 서비스 UMask
