Não funcionará para sessões que não sejam de login, mas sempre usei a abordagem de modificar o .bash{rc,profile}
do usuário. Caso contrário, você pode fazer o oposto: definir umask para 0777
com pam e, em seguida, alterá-la ainda mais para sessões de login no global bashrc
.
Dito isto, um umask de 0777
é alarmante. Você percebe que isso significa que seus usuários criarão arquivos com um modo de 0000
- ou seja, sem acesso para qualquer pessoa - certo?