差分
/* ディレクトリにsetgidビットを設定する */
== ユーザと権限 ==
唯一例外的なのはユーザIDが0、グループIDが0のユーザrootです。
スーパーユーザーと呼ばれ、
UNIXにおいてはオールマイティーな権限を持つ特別なユーザです。
* アクセス権限 : 読み込み / 書き込み / 実行
* ユーザに対して ユーザ・所有者(User)に対して : 許可 / 不許可* グループに対して グループ(Group)に対して : 許可 / 不許可* それ以外に対して それ以外(Other)対して : 許可 / 不許可
<pre class="bash">
$ ls -l memo.txt
-rw-r--r-- 1 hironobu hironobu 44 Sep 20 19:17 memo.txt
$ ls -l /var/mail/hironobu
-rw-rw---- 1 hironobu mail 0 Dec 9 19:39 hironobu
</pre>
memo.txtはユーザIDがhironobu、グループIDがhironobuになっており、所有者txtはユーザIDがhironobu、グループIDがhironobuになっており、ユーザ(所有者)は読み書き、同じグループには読み込み、その他の権限でも読み込みができます。は読み書き、同じグループには読み込み、その他の権限でも読み込みができます。正確には、所有者と同じユーザIDを持ったプロセス、設定されたグループと同じグループに属するユーザIDを持つプロセス、それ以外のユーザIDを持つプロセスとなります。正確には、ユーザと同じユーザIDを持ったプロセス、設定されたグループと同じグループに属するユーザIDを持つプロセス、それ以外のユーザIDを持つプロセスがアクセス可能であるという表現になります。
/var/mail/hironobuというファイルのユーザIDはhironobuになっており、グループIDはmailです。mailのグループ権限を持つプロセスから読み書き可能になっています。具体的には、メールサーバなどのプロセスが読み書きできるようになっています。hironobuというファイルのユーザIDはhironobuになっており、グループIDはmailです。mailのグループ権限を持つプロセスから読み書き可能になっています。具体的には、メールサーバなどのプロセスが読み書きできるようになっています。
変更はコマンドchmodを使います。chmodのオプションではユーザ(所有者)はu、グループはg、それ以外の利用者はoという表現を使います。
パーミッションの許可は"+"、パーミッションの不許可は"-"を使います。
chmodのオプションで"go-rw"はグループとその他ユーザからの読み書きは不許可となります。
<pre class="bash">
$ chmod go-rw memo.txt
$ ls -l memo.txt
-rw------- 1 hironobu hironobu 44 Sep 20 19:17 memo.txt
</pre>
ユーザ(所有者)、グループ、その他ユーザの読み取り許可・不許可、書き込み許可・不許可、実行の許可・不許可は3ビットで表すので、この部分を8進数で表現することもできます。
その場合"rw-------"はビットの設定がuが110、gが000、oが000となるので、8進数表現をするモードでは600となります。
<pre class="bash">
$ chmod 600 memo.txt
$ ls -l memo.txt
-rw------- 1 hironobu hironobu 44 Sep 20 19:17 memo.txt
</pre>
== グループID利用の方法 ==
ここにファイルgroup_share.datがあるとします。これをユーザtaroとユーザdatがあるとします。これをユーザtaroとユーザhanakoが共通に読み書きのアクセスでき、hanakoが共通に読み書きのアクセスでき、他のユーザはアクセスできないようなパーミッションにしたいとします。他のユーザはアクセスできないようなパーミッションにしたいとします。
<pre class="bash">
$ ls -l
合計 56
-rw-r--r-- 1 taro taro 51200 2005-11-23 18:33 group_share.dat
</pre>
まずgroup_share.datを所有者とグループにはrw、それ以外には読み書き禁止datを所有者とグループにはrw、それ以外には読み書き禁止にします。にします。chmodを使いますが、2度に分けてオプションを使ってもいいですし、モードを数字で与えてもかまいません。chmodを使いますが、2度に分けてオプションを使ってもいいですし、モードを数字で与えてもかまいません。
<pre class="bash">
$ chmod o-wr group_share.dat
$ chmod g+wr group_share.dat
</pre>
あるいは
<pre class="bash">
$ chmod 660 group_share.dat
</pre>
結果は次のようになります。
<pre class="bash">
$ ls -l
合計 56
-rw-rw---- 1 taro taro 51200 2005-11-23 18:33 group_share.dat
</pre>
<pre class="bash">
# groupadd taro-hanako
# gpasswd -a taro taro-hanako
# gpasswd -a hanako taro-hanako
</pre>
<pre class="bash">
$ chgrp taro-hanako group_share.dat
...
-rw-rw---- 1 taro taro-hanako 51200 2005-11-23 18:33 group_share.dat
</pre>
これでgroup_share.datはtaro-hanakoのグループに属しているtaroとhanakoが読み書きが出来るようになります。hanakoのグループに属しているtaroとhanakoが読み書きが出来るようになります。
;考えてみよう: apacheはユーザwww-dataの権限で動作しています。cgi-binなどでコマンドを動かしファイルinfo.datに情報を書き込む必要があります。しかし、info.dataの中身に関してはセキュリティ上の問題のためユーザfoo以外には読ませたくありません(www-dataにも許可しません)。さて、この場合、info.datの適切なファイルの所有者、適切なパーミッションはどのようなものでしょうか。
<pre class="bash">
$ ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
hironobu 2796 0.0 1.0 8752 6716 ? R 12:14 0:05 emacs20 -geometry
...
</pre>
=== 現在の権限管理 ===
* ユーザID、グループIDの種類
=== setuid ===
これらはプロセスが、どのような権限で動作するかを規定するものです。
UNIXには実行ファイルの属性に(モードに)setuid bitを設定しておくと、
その実行ファイルはファイルの所有者の権限で動作します。
setgid bitは実行ファイルのグループの権限で動作します。
コマンドfindを使って探してみましょう。
<pre class="bash">
$ find /bin -perm +a+s -exec ls -l {} \;
-rwsr-xr-x 1 root root 26252 Mar 3 2012 /bin/fusermount
-rwsr-xr-x 1 root root 88760 Mar 30 2012 /bin/mount
-rwsr-xr-x 1 root root 34740 Nov 8 2011 /bin/ping
-rwsr-xr-x 1 root root 39116 Nov 8 2011 /bin/ping6
-rwsr-xr-x 1 root root 31116 Sep 13 2012 /bin/su
-rwsr-xr-x 1 root root 67720 Mar 30 2012 /bin/umount
</pre>
最初の表示にある-rwsr-x-rxのsがsetuid bitの意味です。
つまり、これらのコマンドは所有者がrootであり、かつ、
このコマンドを動かすとrootの権限で動かすことができるという意味です。
この実行時は、ruidは利用者、euidがrootとなり、
root権限のファイルなどに書き込むことができるようになります。
一般ユーザでも何でもできる権限を手に入れてしまうということで、
このようなプログラムに誤りがあると大きなセキュリティ上の問題になります。
=== setgid ===
setgidは、set group id bitの意味です。そのファイルのグループIDと同じ権限で実行できます。bitの意味です。そのファイルのグループIDと同じ権限で実行できます。
ruidがrootの時、つまりrootがファイルを実行した時は何でもできるので、euidをプロセス内で制限なく変更できます。たとえばapacheは唯一1つrootでのプロセスがあり、そこから生成し子プロセスがwww-data(あるいは他の)euidで動作します。外部からのアクセスはすべてwww-dataのeuidで動いている子プロセスで動作しているので、万が一、外部からの入力によりapache誤った動作をしても、その影響範囲を無制限にはしない(root権限ではない)ようにしています。 RUID/RGID、EUID/EGID、SUID/SGIDを上手に変更することによって、どのユーザ権限で、あるいはどのグループ権限でプロセスを動かし、適切にファイルやSGIDを上手に変更することによって、どのユーザ権限で、資源にアクセスできるようになることで、セキュリティを保つことができるよあるいはどのグループ権限でプロセスを動かし、適切にファイルや資源にアクセスできるようになることで、うになります。これらの値のセットにはルールがあるので、全部はかけないでセキュリティを保つことができるようになります。すが、典型的なものを書き出してみます。これらの値のセットにはルールがあるので、全部はかけないですが、典型的なものを書き出してみます。
* RUID / EUID / SUIDの設定ルール
=== なるべくrootでは動かさない運用 ===
まだセキュリティなどをあまり気にせず、サーバとして動作しているものは何でもかんでもrootで実行していた時期がUNIXにもありました。
これの利点は、アクセスする先のファイルのパーミッションやroot権限でしかオープンできないポート番号など一々気にしなくてもかまわないという点です。
しかし、万が一、このサーバプロセスが何かの形で乗っ取られてしまい侵入者が外部から任意のコマンドを動かすことが出来るなら、侵入者にシステムに対して万能の権限を持ってしまうことになります。
現在では実行権限はなるべく絞る形で運用されています。
たとえばhttpd(apache)は1つだけrootで稼働しポートのオープンや子プロセスを生成するといった処理をします。
実際のHTTPリクエストに対する対応は別の権限を与えて実行しています。たとえば下の例だとapache/apacheの権限でプロセスを動作させています。
万が一、外部から不当なコマンドが動かされる事態になっても、apacheのユーザ権限が及ぶ範囲でしか被害がありません。
システムの書き換えなど重大なセキュリティ侵害からシステムを守り被害を最小限にできるようなシステムの設計にするのが現在の一般的な考え方です。
<pre class="bash">
% ps -eo user,group,args | grep httpd
root root /usr/sbin/httpd
apache apache /usr/sbin/httpd
apache apache /usr/sbin/httpd
apache apache /usr/sbin/httpd
apache apache /usr/sbin/httpd
</pre>
ディレクトリのグループにsetgidビットを設定すると、そのディレクトリ以下に作られるファイル及びディレクトリには現ディレクトリのグループが適用されます。
この例は、fooというディレクトリがあり、そのディレクトリ下にコマンド touch を使いrootの持ち物である fileA を作成します。
この時のfileAの所有者、グループともrootです。
ディレクトリ foo に対しsetgid ビットの設定を行います。setgid ビットがセットされるとグループの"x"だった部分が"s"に変化します。
次にコマンド touch で fileB を作成します。
ディレクトリのグループ hironobu がファイルに継承されて fileB の所有者は root グループが hironobu になります。
=== ディレクトリにStickyビットを設定する ===
<pre class="bash">
$ mkdir temp
$ ls -dl temp
drwxr----- 2 hironobu hironobu 4096 12月 14 03:12 temp
$ chmod go+rwxt temp
$ ls -dl temp
drwxrwxrwt 2 hironobu hironobu 4096 12月 14 03:12 temp
</pre>
== ACL ==
UNIXでは自分以外のユーザにアクセスを許可する場合は、グループに許可するか、それともすべてのユーザに許可するかの大まかな条件でアクセス制御をしています。一方、ACLではアクセス許可を特定のユーザの単位で、あるいはグループ単位で設定できます。ACLの導入により、これまでのUNIXのアクセス制御よりも現敵的な設定をすることが可能になります。
次のようなファイルがあるとします。
<pre class="bash">
$touch foo.txt
$ ls -l foo.txt
-rw-rw-r-- 1 hironobu hironobu 0 Aug 31 08:15 foo.txt
</pre>
コマンドgetfaclを使ってパーミッションを表示すると次のようになります。
<pre class="bash">
$ getfacl foo.txt
# file: foo.txt
# owner: hironobu
# group: hironobu
user::rw-
group::rw-
other::r--
</pre>
次に自分以外のユーザが読み書きできないようにしてみます。
<pre class="bash">
$ chmod go-rw foo.txt
$ ls -l foo.txt
-rw------- 1 hironobu hironobu 0 Aug 31 08:15 foo.txt
</pre>
この状態でwww-dataユーザのみにfoo.txtの読み込みを許諾するとなると、グループを使う方法だとwww-dataとhironobuだけのグループを作り、そのグループを設定し、グループの読み込みを許可する、といったことをしなければなりません。このWebサーバがアクセスしなければならないファイルの所有者がhironobuのユーザしか存在していないのならば、グループで運用するのも問題ありません。しかし、もし、hironobu以外にmasamiというユーザがいたならば、双方別々のグループを作りwww-dataを加えるといった方法が必要になります。もちろんこの方法はユーザが増えるたびにグループも増えます。
そこでACLの登場です。www-dataのアカウントのみを直接指定してアクセスを許すといった個別の対応ができれば、これまでのUNIXのアクセス権限の手法よりもシンプルに扱うことが出来るようになります。
=== ACLの設定 ===
コマンドsetfaclはaclをセットするためのものです。ユーザwww-dataに"r"だけ許可をしてみます。
<pre class="bash">
$ setfacl -m user:www-data:r foo.txt
</pre>
ではコマンドgetfaclを使って、どう変化したか見てみましょう。
<pre class="bash">
$ getfacl foo.txt
# file: foo.txt
# owner: hironobu
# group: hironobu
user::rw-
user:www-data:r--
group::---
mask::r--
other::---
</pre>
先ほどの内容から2点変わっているのがわかるはずです。まず1点はuserの表示が増えたこと、そしてmaskという新しい項目ができたことです。maskは所有するユーザ以外に与えることのできる最大限の権限です。この場合はmaskに対して指定していないのでデフォルトの"r"が設定されています。
ここではwww-dataのみですが、複数のユーザに対しても同様に個別の設定をすることができます。
ここではユーザのみに関して説明していますが、グループに対しても複数のグループを割り当てたりすることが可能です。
さらに詳しく知るためには
openSUSE
<ref>
openSUSE 第15章 Linuxのアクセス制御リスト
https://www.suse.com/ja-jp/documentation/sles10/book_sle_reference/data/cha.acls.html</ref>
やRadHat
<ref>
Storage Administration Guide
第19章 アクセス制御リスト
https://access.redhat.com/site/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Storage_Administration_Guide/ch-acls.html
</ref>
やTurbolinux
<ref>
Turbolinux 11 Server: ユーザーガイド 第 40章Posix ACL(Access Control List)
http://www.turbolinux.co.jp/products/server/11s/user_guide/c15067.html
</ref>
などのACLに関する運用ドキュメントが参考になります。
さて、この状態でls -lでファイルのパーミッションの状況をみてみましょう。
<pre class="bash">
% ls -l foo.txt
-rw-r-----+ 1 hironobu hironobu 0 Aug 31 08:15 foo.txt
</pre>
最後に"+"と表示されているのは、ACLが設定されているということを意味しています。
== 脚注 ==
----
[[目次]]へ
このページへのショートURL:
http://uc2.h2np.net/i/df.html