ファイルの権限とセキュリティについて

Solarisにおけるファイルの権限とセキュリティーについて、一般的には以下の項目がある。

(1)ファイルのセキュリティ(属性)

ファイルのセキュリティはオーナー,グループ,その他と3つに分かれ、書き込み(w)、読み込み(r)、実行権限(x)を設定できる(ls -laコマンドで確認してみると-rwxrw-r--のように表示)。chmodコマンドで設定するが、デフォルト値はプロファイル情報のumaskの値で777を引いた値が仮定される。

# touch bbb
# ls -la bbb
-rw-r--r-- 1 root other 0 6月 11日 15:17 bbb
# chmod +x bbb　・・・・・・実行権限を付ける
# ls -la bbb
-rwxr-xr-x 1 root other 0 6月 11日 15:17 bbb
# chmod 444 bbb　・・・・・・・444の属性に変更する
# ls -la bbb
-r--r--r-- 1 root other 0 6月 11日 15:17 bbb
# chmod g+w bbb　・・・・・・・groupに書き込み権限を付ける
# ls -la bbb
-r--rw-r-- 1 root other 0 6月 11日 15:17 bbb

(2)スーパーユーザー(root)のログイン

スーパーユーザ(root)はコンソールのみからしかログオンできないように設定できる。/etc/default/loginでCONSOLE=/dev/consoleという文で制御。コメントにするとリモートでもログインできる。ただ、リモートで別ユーザーでログインし、suコマンドでrootになるのは可能なので、suのログイン記録をlastコマンド(/var/adm/wtmpの中を表示)で確認できる。su時のコマンド結果は/var/adm/sulogをチェックすれば良い(+表示はコマンド成功を意味する)。

(3)ACL(Access Control List)の設定

ACLは(1)の属性で不十分な場合に特定のユーザーおよびグループのファイルアクセス権を設定できる。ls -laコマンドで確認すると-rwxrw-r--+という最後に+の表示をする。設定コマンドは・・・

# setfacl -m ・・・・ACLの追加
(例:setfacl -m usr:toki:rw- /etc/shadow)
# setfacl -d ・・・・ACLの削除
# getfacl・・・・ACLの表示

(4)スティッキービット

通常はrootのみがスティッキービットをセットでき、このディレクトリ配下のファイルはroot、ファイルのオーナー、ディレクトリのオーナーのみ削除が可能。ls -laコマンドで見ると属性の最後にtが付く(drwxrwxrwxt)。設定するコマンドはchmodコマンドでdrwxrwxrwxtの属性にする場合
# chmod 1777 ディレクトリ名
となる。最初の1がステッキービットを意味する。

# mkdir ccc
# chmod 1777 ccc
# ls -la ccc
合計 4
drwxrwxrwt 2 root other 512 6月 11日 15:23 .
drwxr-xr-x 3 root other 512 6月 11日 15:23 ..

(5)SetUID

ファイルを実行するプロセスには、その実行可能ファイルを実行しているユーザーではなく、ファイルの所有者 (通常は root) に基づいてアクセス権が与えられます。ls -laの表示の結果-r-sr-sr-xのようにsが表示される。設定方法はchmodコマンドで「chmod 4777 filename」又は「chmod u+s filename」となる(777じゃなくても良い)。

(6)SetGID

プロセスの実効グループID(GID) はファイルのグループ所有者に変更され、ユーザーにはそのグループに与えられたアクセス権に基づくアクセス権が与えられる。例えば/usr/bin/mailはsetgid アクセス権が設定されています。設定方法はchmodコマンドで「chmod 2777 ファイル名」又は「chmod g+s ファイル名」となる(777じゃなくても良い)。
逆にはずす場合は「chmod g-s filename」とすればよいです。