Las utilidades de Unix que crean ficheros utilizan por defecto la palabra de protección rw-rw-rw- si se trata de ficheros no ejecutables o rwxrwxrwx si se crea un directorio o un ejecutable. Puede observarse, por tanto, que todos los permisos son activados.

Para modificar este funcionamiento, cada usuario puede especificar al sistema aquellos bits que no desea que sean activados, mediante la máscara de creación de ficheros. La máscara se establece mediante el mandato umask. Cada bit activo en la máscara es un bit que será desactivado cuando se cree un fichero. Por ejemplo, una máscara 022 desactivaría los bits de escritura para el grupo y el resto de usuarios.

El administrador debe velar porque exista una máscara de creación de ficheros razonable por defecto para cualquier usuario. Esto puede conseguirse fácilmente utilizando el fichero /etc/profile, el cual sirve para personalizar el entorno de los usuarios en el momento de su conexión.